RFI via Phar in little blogging CMS

Discussion in 'Веб-уязвимости' started by Baskin-Robbins, 15 Aug 2021.

  1. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    239
    Likes Received:
    809
    Reputations:
    212
    Думал, думал куда это зарядить - решил, что как практическая реализация атаки,
    рассмотреная в таске #7 - forum.antichat.ru/threads/470693/, тянет на отдельную тему.

    В наличии у нас цмс для блогов Htmly, последняя версия на сегодня 2.8.1.
    Оф сайт - https://www.htmly.com


    Для начала нам следует уточнить для себя несколько вещей:

    1) Файл config/config.ini парсится и данные из него используются в работе движка.

    0_config.png


    2) Мы можем создавать статические страницы со своими данными.

    0_panel.png

    Расширение .md - вчистую туда писать код не выйдет.
    В начало файла дописываются определенные данные - ну мы это уже где-то видели.))

    Вот пример содержимого такого файла:

    1_evil_md.png


    В настройках конфига мы имеем возможность изменять некоторые данные конфига,
    и последняя вкладка custom дает возможность вписывать свои. И по совершенно
    неожиданному стечению обстоятельств, мы можем записывать одноименные параметры, но
    со своими значениями, которые будет учитывать движок - они последние.

    1.png

    2.png


    Ну и где же наш инклуд?

    system/include/dispatch.php

    4_include.png


    И вот ситуация, которую мы уже видели и легко можем эксплуатировать - данные вначале
    скрываются в стабе, файл layout.html.php добавляется в архив. Я использовал пхар как
    видно, ну далее все понятно я думаю.

    5_poc.png

    6_burp.png

    7_phpinfo.png



    Правда есть один маленький нюанс - инклуд из админки))
     
    #1 Baskin-Robbins, 15 Aug 2021
    Last edited: 16 Aug 2021