ssrf redis(ssrf getshell)

漏洞简介

LerxCMS最新版本后台在加载模板时存在SSRF漏洞,通过深入利用该漏洞可以通过远程加载指定的模板文件来Getshell~

漏洞分析

文件位置:lerx_v6.3.0\\\\WebContent\\\\WEB-INF\\\\views\\\\jsp\\\\templet\\\\portal\\\\remote.jsp
漏洞描述:下载时未对来源做检查,只要URL非空即可,故而存在SSRF:

lerx_v6.3.0\\\\src\\\\com\\\\lerx\\\\handlers\\\\TempletMainPortalHandler.java
之后初始化相关设置,并连接提供的URL下载文件,此处的template的路径被初始化为:templates/portal

ssrf redis(ssrf getshell)

之后对zip压缩包进行解压,并通过for循环遍历读取zip中的文件并赋值到templetPortalDir目录下,也就是templates/portal目录,之后还会进行一次可读权限赋予操作:

ssrf redis(ssrf getshell)

在以上整个过程中,未对url的请求源做安全检查存在SSRF,同时由于模板如果是zip文件则会对其进行一次解压缩操作,故而攻击者可以伪造模板下载服务,之后下载存在shell.jsp文件的压缩包并解压到templates/portal目录,从而成功写入shell到目标站点~

漏洞复现

首先在本地将冰蝎提供的shell.jsp打包为zip文件,同时使用python开启一个simpleHTTP服务,来模拟攻击者远程主机提供模板下载服务

ssrf redis(ssrf getshell)

之后使用管理账号lerx/ilovelerx登陆后台,进入到模板页面,选择模板加载:

ssrf redis(ssrf getshell)

之后选择默认模板

ssrf redis(ssrf getshell)

之后点击获取,同时使用burpsuite抓包:

ssrf redis(ssrf getshell)

之后修改url为攻击者主机提供的下载服务对应的地址:

ssrf redis(ssrf getshell)

之后释放请求数据包,在攻击者提供的下载服务端成功接受到请求,可见存在SSRF:

ssrf redis(ssrf getshell)

之后在服务器端成功上载shell.jsp文件(我们的模板为shell.zip,上载过程中会进行解压缩操作将我们的shell.jsp木马文件解压到templates/portal目录目录下面):

ssrf redis(ssrf getshell)

之后使用冰蝎进行连接:

ssrf redis(ssrf getshell)

连接成功:

执行命令:

安全建议

模板有特定域名下的服务提供,在下载模板时对请求域名做安全检查~

原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34113.html

(0)
七芒星实验室's avatar七芒星实验室
上一篇 2024年4月5日 上午10:13
下一篇 2024年4月5日 上午10:15

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注