滲透環境的搭建
phpcollab的下載:phpCollab-v2.5.1.zip
解壓到www目錄,給www目錄許可權,因為這個漏洞需要寫的許可權
chmod 777 wwww
基本環境
配置
mysql -u root -p ---進入資料庫
create database msf ---建立資料庫名稱為msf自己可以改
進入頁面下拉,點上對勾,點setting,進入設定頁面
如果發出報錯提醒,setting.php沒有寫的許可權,嘗試到includings資料夾中建立settings.php然後讓他的許可權為777,在重新配置。
CVE-2017-6090基本原理
檔案上傳,漏洞點:
/phpcollab/clients/editclient.php檔案的第63~70行
$extension = strtolower( substr( strrchr($_FILES['upload']['name'], ".") ,1) );
if(@move_uploaded_file($_FILES['upload']['tmp_name'], "../logos_clients/".$id.".$extension"))
{
chmod("../logos_clients/".$id.".$extension",0666);
$tmpquery = "UPDATE ".$tableCollab["organizations"]." SET extension_logo='$extension' WHERE id='$id'";
connectSql("$tmpquery");
}
$extension = strtolower( substr( strrchr($_FILES['upload']['name'], ".") ,1) );這裡獲得了小寫的檔案字尾名沒有經過過濾
move_uploaded_file($_FILES['upload']['tmp_name'], "../logos_clients/".$id.".$extension")中直接id+字尾使用
所有我們可以上傳php檔案,也不會被更改字尾名,直接上傳一句話木馬,蟻劍連線,原理很簡單
msf的基本命令
msfconsole的連線shell後的命令
msf的基本使用(CVE-2017-6090)
初始化並啟動msf的資料庫
msfdb init
msfdb start
msfconsole的資料庫的命令
msfdb init 啟動並初始化資料庫
msfdb reinit 刪除並重新初始化資料庫
msfdb delete 刪除資料庫並停止使用
msfdb start 啟動資料庫
msfdb stop 停止資料庫
msfdb status 檢查服務狀態
msfdb run 啟動資料庫並執行msf
建立一次掃描(CVE-2017-6090)
參考文章及說明
《精通metasploite滲透測試(第3版)》
最後歡迎訪問我的個人部落格:https://lmg66.github.io/
說明:本文僅限技術研究與討論,嚴禁用於非法用途,否則產生的一切後果自行承擔