oscommerce CMS配置不当导致getshell
首页 > 漏洞    作者:Iamyc   2020年7月31日 20:13 星期五   热度:433°   百度已收录  
时间:2020-7-31 20:13   热度:433° 

这两天老哥喊我搭靶场,然后开始去github物色源码。

然而,老是不得劲儿,要么一眼就看出来有漏洞,要么一眼都看不出来漏洞。

老哥的要求是,要有梯度,但是也得保证是有漏洞的,世间一切美好,皆在似与不似之间尔。

最后找到了这个cms:

github:https://github.com/osCommerce/oscommerce2/releases

官网:https://www.oscommerce.com/

最后更新时间2017.8.18,版本v2.3.4.1

最开始关注是因为看到一个日志文件,报了eval()'d。

然后灰盒试了下,发现用了htmlspecialchars,当然,我们知道这个函数不过滤单引号

巧的是,开发人员也知道,所以最外层用了双引号,哈哈!

此路不通,在vps装上后,继续访问了下install,发现还能继续重新安装。。。

虽然step=4安装完成下面说了建议删除install目录,但是并不是程序自动删除呀!

配置不当一:install目录未删除

所以吧,应该总有人没删吧,Google下:inurl:/catalog/

就比如这个站:http://postiekiddo.com/shop/oscommerce-2.3.4/catalog/install/install.php(已经被我搞崩了)

为什么崩了呢?因为我尝试mysql客户端任意文件读取把配置文件弄坏了:



是的,database server可以直接连接远程vps,这时候如果建立连接(比如nc -lvp 3306)就会把配置文件的数据库信息置空。

配置不当二:mysql允许localfile

就是php.ini允许了:

mysqli.allow_local_infile=on

然后,就可以任意文件读取,首先得找到绝对路径



这里的话有个不会置空数据库配置文件的办法,就是随便乱输入数据库服务账号密码,然后直接访问:

/install/install.php?step=4就像上面爆出warning了

所以配置文件路径就是:

/www/wwwroot/www.new.com/includes/configure.php

这时候vps读取到账号密码就可以重装系统了,可能有小伙伴要问了:

为啥不直接装到远程vps的mysql上?

我试过了,远程vps开启mysql服务,确实能把数据导入vps数据库里,然后就没有然后了。

就是说不会跳转到step=2配置网站,直接跳过会导致后面一系列报错,所以得读到本地数据库才能重装。

这里需要说一下的就是,测试其他网站好像不会爆warning,无法得到根路径。。。

这都是小问题,自己想办法爆绝对路径去!

然后就是重装进后台getshell了。



先到catalog下点击:Categories/Products,然后右边点击Edit就可以上传文件。

是的,任意文件上传,however,.htaccess禁止任何php文件执行。

如果你基本功够的话可以尝试绕后缀,我是直接上传一个空的.htaccess覆盖的。

然后再上传php就getshell了,路径为/images/


2020.08.03:

被告诉秒了?靠

查了下日志,直接配置文件被插了马

搜了下,install的step就能直接插配置文件:https://www.anquanke.com/vul/id/1069114

直接post的数据库名,插入了配置文件。。。。

难受!


2020.08.04:

更新下,任意文件读取的话,直接读:

/proc/self/environ

就能读取到当前应用的环境信息,如果是web服务的话,就可以读到web目录

当然,宝塔的话会默认没有读取权限,但是我昨晚找了个站:

https://www.dreammakershop.com/catalog/admin/index.php?categories=0

这个也在/catalog/install/重装,然后mysql本地读取都是ok的!


二维码加载中...
本文作者:Iamyc      文章标题: oscommerce CMS配置不当导致getshell
本文地址:http://lang-v.com/first_cms/yc/emlog/src/?post=145
版权声明:若无注明,本文皆为“YC's Blog”原创,转载请保留文章出处。

返回顶部    首页    手机版本    后花园  
版权所有:YC's Blog    站长: Iamyc    程序:emlog