宝塔linux面板小于6.0_存储形xss_0day漏洞getshell-棉花糖会员站

# 宝塔linux面板小于6.0 存储形xss 0day漏洞getshell

## 漏洞描述

宝塔面板是什么就不说了，小于6.0的版本存在存储性xss，该版本比较古老了，如果遇到了还是可以一用。

## 漏洞影响

> 宝塔Linux面板<6.0 ## 漏洞复现假设我们已经通过网站漏洞或者ftp弱口令等,可以在web目录下进行文件上传在web目录下上传一个文件名为 ``的文件

![1](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/1.png)

在宝塔后台浏览文件,触发payload

![2](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/2.png)

但是由于宝塔的session加了httponly,所以我们是无法获取到宝塔的cookie的,但是我们可以配合计划任务的一个csrf的漏洞来达到权限提升的效果

POC

“`

修改poc中的ip地址,保存到网页上传到test.com中,当宝塔管理员访问这个页面以后,会自动跳转到

![3](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/3.png)

后台会自动添加反弹shell的计划任务

![4](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/4.png)

![5](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/5.png)

现在准备就绪,只要让管理员打开这个网页就可以了

回到上传文件的地方,因为有触发点有字符数限制,所以用多个语句构造,因为执行顺序的关系,可能需要刷新一下文件管理即可触发

![6](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/6.png)

新建三个文件,文件名分别为

“`
a 图片[1]-宝塔linux面板小于6.0_存储形xss_0day漏洞getshell-棉花糖会员站
b 图片[2]-宝塔linux面板小于6.0_存储形xss_0day漏洞getshell-棉花糖会员站
c 图片[3]-宝塔linux面板小于6.0_存储形xss_0day漏洞getshell-棉花糖会员站
“`

payload触发以后会自动打开test.com网页

![7](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/7.png)

将上一步CSRF的payload部署到test.com,管理员浏览文件的时候即可触发,触发后五分钟会反弹shell

![8](/static/qingy/宝塔linux面板小于6.0_存储形xss_0day漏洞getshell/img/8.png)

root权限~

文章版权归作者所有，未经允许请勿转载。

THE END