0x00 前言

突然看到这个漏洞所以起来复现一下其实没有什么技巧和经验可言就是一个xss+csrf的RCE。

本文仅供参考请勿用于非法用途

0x01 漏洞环境

环境部署可以参考https://www.xp.cn/linux.html#install-show

我是直接用kali部署的相当于是unbantu。

0x02 漏洞利用过程

1.xss

先来看xss正常的登录测试

<script>alert(1)</script>

因为在操作日志中会记录登录名又没有过滤所以会直接造成XSS

![在这里插入图片描述](https://img-blog.csdnimg.cn/77bc0f455e7b4069a8298d4294451958.png

2.CSRF

在后台有一个计划任务的功能

这个功能可以直接执行命令

可以执行任意命令

执行一下

执行结果

3.利用逻辑

典型的先XSS然后CSRF。

先通过CSRF创建一个计划任务然后再执行这个计划任务就可以了数据包就是如下图所示的两个

执行任务

当然也可以通过其他方式比如上传文件等自由发挥即可。

4.poc

这里poc就不给了给一个怎么通过js发送请求的方式。

这里一定要注意的就是一定要头不然的话验证不过是没有办法执行成功的。

function creatPlan(){
	var xhr = new XMLHttpRequest();
	xhr.open('post', '/test');
	xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest");
	xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
	xhr.setRequestHeader("Accept-Language", "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2");
	xhr.onload = function() {
            console.log(xhr.responseText);
    }
    xhr.send('a=1&b=2');
}

0x03 代码审计

这个代码没啥好看的很简单啥过滤都没有。

以上

有空可以关注一下公众号鸭