将本站设为首页收藏90Sec安全技术论坛论坛小黑屋
    城市    201X-XX-XX    星期X    ---     今日温度:-----    风力:-----    风向:-----

90Sec官方技术论坛 - 一个专业的网络安全技术研究论坛 - 专注于网络空间安全、前沿技术研究 - bbs.wmishop.com!

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 4101|回复: 0

宝塔面板6.x版本前台存储xss+后台csrf组合拳getshell

[复制链接]
  • TA的每日心情
    慵懒
    4 天前
  • 110

    主题

    134

    帖子

    3840

    积分

    创始人-管理员

    Rank: 30Rank: 30Rank: 30Rank: 30Rank: 30Rank: 30Rank: 30Rank: 30

    积分
    3840

    最佳新人荣誉会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    QQ
    90Sec币
    3600
    卖家信用
    阅读权限
    255
    注册时间
    2019-8-15
    听众
    0
    在线时间
    84 小时
    发表于 2019-10-4 03:17:20 | 显示全部楼层 |阅读模式

    90Sec安全技术论坛提示:您还未注册90Sec安全技术论坛,请尽快注册,浏览更多加密信息!

    您需要 登录 才可以下载或查看,没有帐号?加入我们

    x
    什么是宝塔面板?
    宝塔面板是一款使用方便、功能强大且终身免费的服务器管理软件,支持Linux与Windows系统。一键配置AMP/LNMP、网站、数据库、FTP、SSL,通过Web端轻松管理服务器。推出至今备受中小站点站长喜爱,下载量过百万。

    漏洞影响
    涉及版本有 内测阶段的6.0x 小范围灰度测试的6.1x/6.2
    以前的版本3.x/4.x/5.x都不存在这个漏洞


    漏洞代码分析在6.x linux版本宝塔面板当中当中,相对与5.x版本,记录了验证码错误并存入数据库当中,存储xss缺陷就是在此处产生。

    我们直接看漏洞代码。

    QQ截图20191004031129.jpg

    分析post请求部分
    QQ截图20191004031148.jpg
    代码如下
    QQ截图20191004031222.jpg

    这里首先判断了是否有 用户名密码,然后是验证码。判断这个IP是否是有登陆失败的记录。如果大于1 记录一下,随后将错误次数大于1的用户名的和密码都进行了记录。
    从数据库中读取管理员账号密码。进行对比。如果没有成功就返回一个错误

    关键的代码如下:

    QQ截图20191004031248.jpg

    此处记录了一下post 的请求。然后将code传入到了写日志的一个函数里面。追踪一下这个函数。 在public.py 里面,找到如下函数

    QQ截图20191004031307.jpg

    这里就是一个写日志的功能。定义了一个teyp 然后是args 。这里把code 传递过来。就直接写入了日志。没有做任何过滤处理。然后就导致了xss漏洞产生。
    可以在宝塔数据库当中,看到logs数据库里存储的信息

    QQ截图20191004031327.jpg

    漏洞复现
    直接在面板登录处,随便输入一个账号密码,触发失败,要求输入验证码

    QQ截图20191004031351.jpg

    QQ截图20191004031419.jpg

    由于没有任何过滤处理,我们直接输入弹窗的payload:<script>alert('www.xxx.org')</script>。

    QQ截图20191004031447.jpg

    登录后台后,打开安全模块,成功触发弹窗

    QQ截图20191004031512.jpg

    由于服务器管理面板的特殊性,后台可以进行敏感操作。手写js远程调用,利用csrf漏洞在计划任务处配合存储xss,可成功反弹

    shell,弹shell成功截图如下:
    QQ截图20191004031546.jpg

    远程调用js代码如下

    [/hide]注:
    虽然涉及的不是很广泛  但是相对来说却不失为一种姿势的学习。

    90Sec安全技术论坛提示您:在注册账号发帖时请认真并仔细阅读本论坛规则,请遵守当地法律法规以及相关互联网安全法等一系列中华人民共和国相关关法律。(警告:未仔细阅读本论坛规则以及您所在当地法律法规以及互联网安全法和中华人民共和国相关法律的情况下请勿在本论坛发帖并且进行一系列注册账号等操作)最终解释权全归本论坛所有。如有任何疑问请联系管理员邮箱:(admin@cokenets.com) 90Sec安全技术论坛永久唯一地址:https://bbs.wmishop.com/
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    关注90Sec安全技术论坛官方微信公众号,有惊喜!
    关注我们,技术经验分享,网络信息,网络信息安全,资源分享,安全技术,SEO优化技术等等。

    扫黑除恶违法举报中心|小黑屋|90Sec安全技术论坛 ( 浙ICP备15005174号-3 ) 知道创宇云安全

    GMT+8, 2019-12-5 23:58 , Processed in 0.094919 second(s), 39 queries .

    Powered by 90Sec安全技术论坛 X3.4

    © 2013-至今 90SecBBS

    快速回复 返回顶部 返回列表