POC详情: 778e26744bf3e7e1be189c58a4c76832583f50ac

来源
https://github.com/SkyW4r33x/CVE-2023-4226
关联漏洞
标题: Chamilo LMS 安全漏洞 (CVE-2023-4226)
描述:Chamilo LMS是Chamilo协会的一套开源的在线学习和协作系统。该系统支持创建教学内容、远程培训和在线答题等。 Chamilo LMS v1.11.24 版本及之前版本存在安全漏洞,该漏洞源于 “/main/inc/ajax/work.ajax.php”页面存在不受限制的文件上传。
描述
Vulnerabilidad de carga de archivos sin restricciones en **Chamilo LMS** (<= v1.11.24).
介绍
# 🛠️ Explotación CVE-2023-4226 para Chamilo LMS

## 📋 Descripción

Script en Python que automatiza la explotación de **CVE-2023-4226**, una vulnerabilidad de carga de archivos sin restricciones en **Chamilo LMS** (<= v1.11.24). Sube un web shell PHP basado en PentesterMonkey y configura `.htaccess` para lograr una **reverse shell**. Más detalles: [Advisory de STAR Labs](https://starlabs.sg/advisories/23/23-4226/).

## 🔍 Vulnerabilidad

-   **Producto**: Chamilo LMS
-   **Severidad**: Alta (CVSS 3.1: 8.8)
-   **Versiones Afectadas**: <= v1.11.24
-   **Descripción**: Usuarios con rol de aprendiz pueden subir archivos PHP en `/main/inc/ajax/work.ajax.php`, logrando RCE.
-   **CWE**: CWE-434 (Carga de Archivos Peligrosos)


## 🚀 Funcionalidad

1.  **Solicita**:
    -   URL del objetivo.
    -   Cookie de sesión (`ch_sid`).
    -   IP y puerto del atacante para la reverse shell.
2.  **Modifica** `rce.php` con IP y puerto.
3.  **Ejecuta**:
    -   GET a `/main/work/work.php?cidReq=HW`.
    -   POST a `/main/inc/ajax/work.ajax.php` para subir `rce.php` y `.htaccess`.
4.  **Muestra** la URL del web shell (`/app/cache/rce.php`).

## 📦 Requisitos

-   **Python**: `requests`, `colorama`.
    
    ```bash
    pip install requests colorama
    
    ```
    
-   **Archivos**: `rce.php` (PentesterMonkey, incluido en el repositorio), `.htaccess` (generado por el script).
-   **Red**: IP y puerto para el listener (ej. `nc -lvnp 4444`).


## 🛠️ Uso

1.  Clona el repositorio:
    
    ```bash
    git clone https://github.com/SkyW4r33x/CVE-2023-4226
    cd CVE-2023-4226    
    ```
    
2.  Asigna permisos de ejecución al script:
    
    ```bash
    chmod +x CVE-2023-4226.py    
    ```
    
3.  Instala dependencias:
    
    ```bash
    pip install requests colorama    
    ```
    
4.  Inicia el listener en una terminal:
    
    ```bash
    nc -lvnp 4444    
    ```
    
5.  Ejecuta el script:
    
    ```bash
    ./CVE-2023-4226.py    
    ```
    
6.  Ingresa:
    -   URL del Chamilo.
    -   Cookie `ch_sid`.
    -   IP y puerto del listener.
7.  Accede al web shell para iniciar la reverse shell:
    
    ```
    http://<chamilo>/app/cache/rce.php    
    ```
    
    Ejemplo: `http://chamilo.local/app/cache/rce.php`

## 🛡️ Mitigaciones

-   Actualiza a **Chamilo >= v1.11.26**.
-   Sanitiza nombres de archivos.
-   Bloquea HTML en `disable_dangerous_file()`.
-   Agrega a `.htaccess`:
    
    ```apache
    RedirectMatch 403 ^/main/inc/lib/javascript/bigupload/files
    Header set X-Content-Type-Options nosniff    
    ```
   
## ⚠️ Aviso Legal

Uso exclusivo para **pruebas autorizadas**. El uso no autorizado es **ilegal**.


## 🙌 Créditos

-   **Vulnerabilidad**: Ngo Wei Lin (@Creastery), STAR Labs.
-   **Script**: SkyW4r33x
文件快照

 [4.0K]  /data/pocs/778e26744bf3e7e1be189c58a4c76832583f50ac
├── [6.5K]  CVE-2023-4226.py
├── [2.5K]  rce.php
└── [2.7K]  README.md

0 directories, 3 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。