Fastadmin 漏洞合集

2022-01-09 0 481

FastAdmin 前台分片传输上传文件 Getshell

影响版本

FastAdmin < V1.2.0.20210401_beta

且开启分片传输功能(默认关闭)

漏洞复现

详看:https://xz.aliyun.com/t/9395

EXP:

https://github.com/exp1orer/FastAdmin_Upload

Fastadmin 漏洞合集

Fastadmin _empty 前台文件包含 Getshell

前提

开启⽤户注册

漏洞原因

直接将 $name 参数带⼊到 fetch 函数,fetch 函数是 ThinkPHP 解析模版的函数,⾥⾯⽀持原⽣ PHP,所以造成 RCE,直接上传成功就可以调⽤这个点解析。Php 代玛可以和标益在模板⽂件中漏合使⽤,可以在模板⽂件⾥⾯千写任意的 P 句代码,包括下⾯两种⽅式:使⽤ php 标签 例如:

我们建这需要使⽤ PHP 代的时候尽量采⽤ hp 签,因为原⽣的 PHP 法可能会被配置禁⽤⽽导致解析错误。使⽤原⽣ php 代码

注意:php 标签或者 h 代码⾥⾯就不能再使⽤标签 (包普通标盗和么标) 了,因此下⾯的⼏种⽅式都是⽆效的;

FastAdmin 后台 Getshell

0x1 Getshell 1 需要超级管理员权限

打开菜单规则 > 菜单规则 (auth/rule)> 编辑

Fastadmin 漏洞合集

条件规则处写入

可用 file_put_contents 或者 copy 等来写 shell

创建一个低权限管理员 登录访问后台首页

https://xxx.app/admin/dashboard?ref=addtabs 成功执行代码

0x2 Getshell2

后台 > 插件管理 > 如果有文件管理器可直接上传 shell

0X3 Getshell3

后台 > 插件管理 > 如果有命令执行插件

打开命令执行插件 > 一键生成 API 文档 > 如图

Fastadmin 漏洞合集

点击生成命令行 立即执行 会在根目录生成 api.php

0x4 Getshell 4

后台 > 插件管理 > 在 Fastadmin 官网去下载一个 example 插件压缩包 采用离线安装模式

打开下载的 example 插件压缩包 更改 Example.php 文件中

PHP

/**
    * 插件启用方法
    */
   public function enable()
   {
       file_put_contents('../public/1.php','<?php phpinfo();?>');
       Menu::enable('example');
   }

更改完成 离线上传安装 点击启用插件 会在根目录生成 1.php

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

分享e站 技术文章 Fastadmin 漏洞合集 https://www.fxe.cc/2613.html

上一篇:

已经没有上一篇了!

常见问题

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务