春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)

文章目录

  • 前言
  • 一、CVE-2021-41402描述
  • 二、CVE-2021-41402漏洞复现
    • 1、信息收集
      • 1、方法一弱口令bp爆破
      • 2、方法二7kb扫路径,后弱口令爆破
    • 2、找可能可以进行任意php代码执行的地方
    • 3、漏洞利用找flag
  • 总结


前言

此文章只用于学习和反思巩固渗透测试知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!


一、CVE-2021-41402描述

flatCore-CMS v2.0.8 存在代码执行漏洞,远程恶意用户可以利用该漏洞执行任意 PHP 代码。
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第1张图片

二、CVE-2021-41402漏洞复现

  • 1、信息收集
  • 2、找可能可以进行任意php代码执行的地方
  • 3、漏洞利用找flag

1、信息收集

1、方法一弱口令bp爆破

一打开网站是404页面,开局就是404,天崩开局属于是。然后一个登录框。(如图所示)
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第2张图片
这个时候我们找了一下并没有可以执行php任意代码的地方。我们只能选择信息收集了。
因为我们知道cms是什么,我们不妨去网上搜一下zzcms有没有报过历史漏洞,或者是有没有开源代码下载进行代码审计。这里我就不进行代码审计了,基础不好。但是搜了一下好像并没有什么东西,我们尝试爆破吧。
先抓个数据包,然后发送到intruder模块进行爆破。(如图所示)
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第3张图片
因为大部分cms默认账号是admin,这里我就只爆破密码了。两个混合爆破太慢了,不如搏一搏,单车变摩托。我们发送到intruder模块。给密码加上$符号进行枚举爆破,最后观察页面回显数据包的长度来判断哪个是正常数据包,也就是正确密码。(如图所示)
*春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第4张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第5张图片
我用的字典是自己网上找的后台密码大全字典。直接load导入就行
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第6张图片
确认设置无误后点击start attack进行爆破
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第7张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第8张图片
发现最不同的是5567的长度,我们试一试就行,发现密码12345678是正确密码。发现登录成功,点administration进入新的界面
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第9张图片

2、方法二7kb扫路径,后弱口令爆破

这是一种方法,直接弱口令爆破。还有一种方法是先扫隐藏路径,这里用7kbscan扫描。发现有robots.txt可以访问。(如图所示)
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第10张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第11张图片

得到隐藏路径,一个个试发现acp才是后台登录界面。然后弱口令爆破就行了,和上面一样。

春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第12张图片

2、找可能可以进行任意php代码执行的地方

发现有上传文件选项
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第13张图片
上传一句话木马发现并不能看到文件的路径地址,和下载到的地方。发现上传文件好像有白名单过滤如图所示)
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第14张图片
没有php后缀名选项上传选项,那么可能这里上传不了。我们再找找其他地方。发现有一个安装模块的地方,点进去看一下。发现可以上传模块,注意上说此区域测试阶段,那会不会没有进行过滤文件呢?我们点击上传发现可以上传,发现上传成功(如图所示)

春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第15张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第16张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第17张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第18张图片
现在如果知道php的绝对路径就可以getshell了。但是发现我怎么也找不到木马路径,我只好猜了。因为文件是plugins中,然后一般文件下载路径都有一个upload文件夹。如果大佬有更好的找到路径的方法可以一起讨论。
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第19张图片

3、漏洞利用找flag

发现成功访问,这里用蚁剑连接或者是hackbar用system函数获取flag。
1.蚁剑连接春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第20张图片
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第21张图片
2.hackbar用命令执行函数读取flag
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)_第22张图片


总结

这一关是flatCore-CMS v2.0.8 存在后台任意代码执行漏洞,可以用一句话木马或者system命令查询。此文章是小白自己为了巩固文件上传漏洞而写的,大佬路过请多指教!

你可能感兴趣的:(web安全,任意代码执行)