某平台管理RCE审计
看到有位师傅发了一个RCE,顺手分析一手
先跟着师傅的文章走一遍
输入账密 admin admin,进入到后台
诊断中有一个ping测试和tracert测试,两个点都可以进行rce,先用师傅的ping测试
然后是tracert
抓包分析
然后找到站点的源码进行审计,这时候有两种方式,全局搜索exec敏感参数和hostname都可以,不过已经有rce点了,直接搜索hostname
可以看到call_function,看调用的是ping还是tracert,然后传参post参数到hostname中,直接在exec中拼接了,全程没过滤,这里就可以直接造成rce
这里也可以发现iface,也是无任何的过滤,那么也可以进行rce,只需要前后各加两个管道符就ok
如果是跟着逻辑往下审计那就是从jumpto.php开始
打开jumpto.php
然后前面包含了三个文件
Check_login.php文件看一下,如果没有cooLogin参数那就跳转到index.html
这是登录的抓包
但当我们把cookie删除后,虽然跳转到了index.html,但还是执行了命令
这是因为虽然包含了文件,但没有停止执行下一步的命令,所以依然会把diagnosis_ config_save.php剩下的命令执行下去
宣传页
ZAC安全
本人微信:zacaq999
扫描器地址:https://github.com/ZACSFR99/ZACscan
文章内容如有任何错误或者对不上号的,可以加我微信,感谢各位大佬们的指点
原文始发于微信公众号(ZAC安全):某平台管理RCE审计
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论