0x00 前言 前几天FastAdmin爆出存在低权限用户有条件RCE的漏洞,比较奇怪的是好像一直没有什么人复现。昨晚小盘师傅复现了该漏洞后给我投稿,这里感谢小盘师傅的支持。...那么看一下这个漏洞到底是怎么回事叭。...0x01 漏洞原理 当开启了分片上传功能时,fastadmin 会根据传入的 chunkid ,结合硬编码后缀来命名和保存文件,攻击者可预测文件上传路径;此后攻击者提交 "分片合并" 请求时,fastadmin...s=index/ajax/upload 0x03 漏洞分析 该漏洞位于 application/api/controller/Common.php 下的 upload() 方法中。...发送请求: 虽然报错了,但是 php文件还是成功生成了 访问之,成功RCE: 0x05 修复建议 虽然该漏洞是普通用户即可通过上传造成RCE,但是其依赖于分片上传的配置项,该配置项默认不是开启的所以受影响的范围还是有限的
尊敬的腾讯云客户: 您好,近日,Fastadmin 前台被曝存在 getshell 漏洞。攻击者可利用该漏洞传入包含指定路径的后门文件,进而获取应用控制权限。...漏洞名称 FastAdmin 前台 getshell 漏洞 漏洞组件 FastAdmin是一款基于ThinkPHP5 + Bootstrap的极速后台开发框架,具有强大的一键生成、完善的前端功能组件开发和强大的插件扩展等功能...漏洞描述 在/application/index/User.php文件中,由于_empty方法的$name参数可控,可导致fetch模板注入。...攻击者可利用该漏洞传入包含指定路径的后门文件,进而getshell。该漏洞利用需要开启会员中心功能。...参考链接 https://github.com/karsonzhang/fastadmin/issues/73
利用限制 /application/config.php 文件中: //是否开启前台会员中心 'usercenter' => true, 即需要开启会员中心功能 漏洞分析...总之一句话,这个漏洞其实就是由于对传入变量过滤不严导致的模板引擎注入漏洞,只要控制了传入模板的文件,就可以利用模板本身的渲染功能,实现包含漏洞getshell 另外需要注意的是,当验证传入的模板是否是文件时.../和\ 都可以使用,但是在linux下只能使用/ 来分隔路径,因此这会导致is_file()在不同系统下的返回结果不一致 5、is_file()判断文件时,如果文件大小超过2^32时,会判断失败 漏洞验证...通过前文可知,这个漏洞的利用点在_empty()函数,需要注意的是,在官方文档中通常_empty()方法是用来判断一个方法是否存在,如果不存在,则进入该函数。...,通过这种方法会失效,因为在/public路径下不存在user目录,由前文中的知识点可以知道,当不存在这个目录的时候,无论怎么跳转目录,is_file()函数返回的结果始终未false,因此无法利用该漏洞
0x00 前言 FastAdmin 是一款基于 PHP + Bootstrap 开源后台框架,采用 Apache2 商业友好开源协议,FastAdmin 是专为开发者精心打造的一款开源后台框架,高效且可以免费商用...FastAdmin 后台框架的一键生成 CRUD,可根据数据表,一键自动生成控制器、模型、视图、JS、语言包、菜单、回收站等,可以有效提高开发者的开发效率。...FastAdmin 致力于服务开发者,努力为开发者节省时间,让大家有更多的时间读书、健身、开源、投资、旅行,以及帮朋友和陪家人。...0x01 漏洞描述 FastAdmin后台开发框架 /index/ajax/lang 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)。...0x02 CVE编号 无 0x03 影响版本 无 0x04 漏洞详情 POC: GET /index/ajax/lang?lang=../..
0x01 前言 FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,可以利用三方插件GetShell 0x02 本地测试 FastAdmin官方源码下载地址: ActionScript...https://www.fastadmin.net/download.html 开启phpstudy本地搭建 安装成功,新版源码的后台地址是随机生成的 后台默认会有插件管理功能,但是绝大部分用户会把这个功能阉割掉...所有只能用三方免费版插件,直接点击安装会需要登录账号,登录信息会记录到日志,不便于操作,所以去官方下载离线安装包 Fileix文件管理器离线安装包官方下载地址: ActionScript https://www.fastadmin.net
0x01 前言 FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,可以利用三方插件GetShell 0x02 本地测试 FastAdmin官方源码下载地址: https://www.fastadmin.net...Fileix文件管理器离线安装包官方下载地址: https://www.fastadmin.net/store/fileix.html 点击离线安装,选择上传你下载的ZIP离线安装包 ?
一:在控制器中继承import方法 编辑文件:application\admin\controller\xxx.php
0x02 漏洞概述 2021年3月28日,360漏洞云漏洞研究员发现,FastAdmin框架存在有条件RCE漏洞,由于FastAdmin的前台文件上传功能中提供了分片传输功能, 但在合并分片文件时因对文件路径的拼接处理不当导致可上传任意文件...0x03 影响版本 FastAdmin < V1.2.0.20210401_beta 且开启分片传输功能(默认关闭) 0x04 环境搭建 在官网上下载fastadmin,利用phpstudy搭建环境...0x05 漏洞复现 漏洞需要一个低权限的账号 所以我们需要在前台注册一个普通用户 ? 登陆后在个人资料头像处抓包并上传dog.jpg ? 更改上传数据包(需要注意图中几处红框的内容) ?...(漏洞利用存在很大的局限性,首先是需要开启支持分片传输,我在调试的过程中发现,在指定 host 解析,设定网站的根目录为 /fastadmin/public 之后就无法访问 /fastadmin/runtime...同时最新版本已经修复存在的漏洞,修复位置为 application/common/library/Upload.php 复现漏洞时,应注释这个部分 ?
每一个搜索值必须要加这个 data-name为字段值 <input class=”operate” type=”hidden” data-name=”name...
基于ThinkPHP5和Bootstrap的极速后台开发框架 详见开发文档:https://doc.fastadmin.net/docs/index.html ?...status', title: __('Status'), operate:false, formatter: Table.api.formatter.status} 3.添加、编辑、删除、导入、批量操作按钮 FastAdmin...启用导入请参考:https://forum.fastadmin.net/d/540 4.自定义搜索 FastAdmin中的 Bootstrap-table表格的自定义搜索功能是非常强大的,我们可以按需要修改来实现自己的搜索功能...8.标志和图片 FastAdmin封装了许多常用的方法,我们可以快速的调用即可。...来源:https://forum.fastadmin.net/thread/323,经验分享,感谢Karson。
4n362pR4ExakFab 拓扑图: 信息收集 扫描存活主机和端口,发现开放了80、3389、5985、7001端口 访问80端口如下: 5985和7001端口访问都是报404、403 漏洞利用...这里根据报错可以判断出该网站是FastAdmin搭建的 有注册功能,我们可以尝试一下FastAdmin前台分片传输上传文件getshell,先在前台注册一个普通用户 登陆后在个人资料头像处抓包并上传图片...被修改了,扫目录也没啥发现 再来看看5985和7001端口,其中7001在扫目录时发现存在KindEditor服务 首先访问/kindeditor.js查看版本信息,得知其版本为3.5.5 搜一下相关漏洞发现存在文件上传和遍历目录漏洞...path=.././../ 这里我们可以看到Fastadmin,通过访问目录/fastadmin/public/得到Fastadmin后台地址FNeSOgYGkp.php /php/file_manager_json.php.../fastadmin/public/ 然后尝试弱口令admin/admin123成功登录后台 于是可以开始尝试后台getshell getshell1失败,利用需要用到超级管理员权限,打开菜单规则
上一篇文章Fastadmin开发之插件开发 里说我们可以直接通过命令行的方式生成一个插件目录.但是这个目录是一个残缺的目录. ?
https://www.cnblogs.com/r00tuser/p/14344922.html 0x01 前言 本文源于实战场景,以下所有测试均基于Fastadmin前台模版getshell漏洞环境...环境: Win10 Phpstudy 2018 PHP-7.0.12 NTS+Apache Fastadmin V1.2.0.20210125_full ThinkPHP 5.0.24 Fastadmin...> 一一对应: 有一点需要注意,看上图,用method头会换成大写,PHP马写进去之后解析可能会出问题,所以建议还是用host和url的两个头 实战场景:Fastadmin普通用户可以登陆...,有模版渲染漏洞,没有开app_debug,无法修改头像,用模版渲染日志文件getshell 0x03 总结 遇到类似的场景时,基于tp5的文件包含、模板渲染写入PHP代码时可尝试用上述的请求头
距离上次水文章.大概可能也许已经过去了半个月到时间.今天有空重新记录下关于Fastadmin使用上的一些技巧. 不定时更新.只为记录. 1.关于页面有上角生成的导出,切换,列.搜索.
FastAdmin基于tp5以及其他前端组件的二次开发的框架,十分简洁高效,根据官方文档进行下载安装即可。...文末附上官网地址: https://www.fastadmin.net ---- 后续补充: 今天下午在研究Fastadmin时.意外发现在点击首页去前台之后再点击登录会报一个404页面丢失的错误.这里的话
location ~* (runtime|application)/{ return 403; } location / { if (!-e $...
fastadmin是一款优秀的后端框架,也是用这个框架写了好几个项目了.因为也是在做自家项目.所以就打算考虑已插件化开发形式去升级迭代版本.
前言 ---- FastAdmin 中的动态下拉列表使用的是优秀强大的 Selectpage 插件,FastAdmin 对其进行了二次开发 这个插件适合用于下拉框数据较多时,比如: 发布文章时选择哪个用户发布的...并且支持下拉多选,非常实用 站长源码网 更多用法参考 FastAdmin 官方文档 2.
继上次安装完Fastadmin,也是过去了一段时间.今天继续研究Fastadmin....一般在安装完Fastadmin之后.首页都会提示你 一般所有的网站都会有一个后台入口文件.像WordPress.在博客后面添加wp-login.php就可以看到登录后台的界面.像宝塔面板也是提供了修改登录界面的设置...针对Fastadmin.官方也是提供了解决办法 分享隐藏后台登录入口地址的方法 首先 修改application/config.php中deny_module_list的值,其中默认已经有common
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
