中国网络渗透测试联盟
标题:
phpwind后台getshell 0DAY
[打印本页]
作者:
admin
时间:
2013-9-21 16:21
标题:
phpwind后台getshell 0DAY
90sec要审核了.废话不多说,支持90sec.
: ?7 L5 D4 U4 g/ l
今天奉上刚挖的phpwind的洞.后台拿shell
3 a* M+ J+ \4 f6 E! W$ M: m
前提:管理员账号和密码一枚,php小马一枚(先压缩到一个zip文件里)
7 T' Z% a6 H/ k7 F* t/ ]
1. 首先用各种猥琐的办法社到phpwind管理员的账号密码
) B' ]0 E6 Q) b5 \1 }. h r
2. 打开应用本地安装的页面:
http://127.0.0.1/phpwind/admin.php?m=appcenter&c=app&a=install
. n. }8 o$ m3 t% T# ?, J. h, m' ~
3. 上传压缩有php小马的zip文件.(有人要吐槽我用360压缩不?)
& ?3 v% t' p* t, b, T, T
[attach]248[/attach]
$ w6 ]2 t; W/ k' h
4. 然后打开chrome的控制台,切换到Network标签.(firefox可以用firebug,ie也有控制台滴).点”立即安装”,查看网络连接.这一部比较重要,找到浏览器请求的地址,file参数后面的就是我们要的信息.小马的目录是http://url/data/tmp/+file参数中的目录名.例如我这里的是
http://127.0.0.1/phpwind/admin.php?m=appcenter&c=app&a=doInstall&csrf_token=879bb46e61cdfe7c&file=1379055818%2Fe523397be68a159.zip
3 B+ Q* u. k# ?
那么小马的目录是
http://127.0.0.1/phpwind/data/tmp/1379055818/
; c- t$ R4 u: s2 B9 n0 v
亲,只是目录哟,不是小马的路径哟.后面加上咱们压缩包里的小马的文件名,就华丽丽的变成了咱们小马的路径了
http://127.0.0.1/phpwind/data/tmp/1379055818/1.php
0 u5 H% h# A) a# O7 F) V
1359
1 W/ ^$ b+ N6 x8 \
[attach]249[/attach]
3 d9 _, B. Z+ Q6 b0 @
5. 这里讲下原理和修复方法,我没有去看源代码.首先我们上传了一个zip压缩包,phpwind会先在/data/tmp/新建一个以时间戳命名的文件夹,然后将我们上传的zip文件重命名后放到这个文件夹里面.当我们执行安装的时候,phpwind会把我们的zip文件解压到当前目录,并且检查文件结构是否完整.因为我们这里只是一个普通的zip包,没有遵循它的文件结构,所以可以看到在第4步处程序返回了错误的提示.虽然返回了错误提示,但是却没有把解压出来的文件删除,所以这里就被我们利用了.
4 m2 V _/ Y0 w4 l2 b- s4 Y/ h2 Y
所以修复方法就是把安装错误的应用的临时文件夹里解压出来的文件删除.
3 m0 R- p8 S/ y4 k$ e# Y3 \
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2