好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。
nday进后台:
开局一个登录框:
通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。
语句:xxx系统历史漏洞 or xxx平台历史漏洞
如上图,拼接payload,通过/../..;号实现权限绕过:
302跳转进入后台,发现为管理员界面。
进入一个系统时,一定不要着急马上测试,要先总体看看这个系统的功能点,基本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
总体看了看系统功能点,便点进个人信息处,尝试文件上传漏洞getshell。
点击选择,随后页面进行了一个奇怪的跳转:新开了一个页面
我先尝试文件上传,不过只能上传图片格式,我观察到该文件路径中存在:type=images,于是尝试将images自行修改,不过这种页面居然不能修改url,于是复制url放到正常浏览器访问,尝试修改无果。
【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
发现页面存在修改文件后缀功能,但也被限制。
这时我发现站点采用了ckfinder编辑器,于是按照:xxx历史漏洞继续搜索:\
翻看大量文章后并未发现能成功复现的漏洞,但我发现了ckfinder的一个新路径:
将url的?后面全部删除进入如下界面:
这时发现刚才原来只是处于images文件夹下,所以被限制很严格。
于是我再次在files文件夹下上传可执行文件,但jsp和php之类均被限制,jspf或者jspx也无法绕过,只有尝试xss类型文件上传了:
上传发现关键字被黑名单限制,于是先上传了一个空的txt文档,上传后再对内容,后缀名进行修改:
修改如下:
双击访问:
成功执行恶意js代码,造成弹窗,这种漏洞就会很容易在管理员访问时,直接将cookie盗取。
同时记住,想这种功能点,属于站点较为深入的功能点处,还极可能存在未授权访问漏洞,删除认证字段访问:
访问成功,由此获得未授权访问加xss类型文件上传漏洞。
这种类型漏洞就可用作挂马,制作钓鱼页面等高危害操作。
多处sql注入漏洞:
该站点功能点很多,这也是为什么我测了很久的原因:
注入点1:
经过翻找发现如下页面,可直接执行sql语句:
输入sql语句抓包查看:
延时成功,虽然从设计功能点来看,这其实并不能算是漏洞,因为本身开发者就是要这么设计的,但在挖掘漏洞时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户密码等。
注入点2:
功能点如下,此站点查询功能点极其多,但并不是每一个都有漏洞,所以黑盒测试就需要一个个慢慢测试:
抓包,输入单引号报错,两个单引号页面正常,尝试sql手注:
利用堆叠注入延时成功。
数据库的遍历:
继续探索,发现如下页面:
先前便提到过,黑河测试一定要将功能点转化为数据包,接口,参数进行测试,不然这时我可能只会看到一个数据库信息而已。
我翻看该功能点数据包时,直接就发现了展现该页面的请求包与返回数据:
如上图,泄露了数据库地址,账户密码。
但此时注意请求包参数:id=1,很明显,我直接遍历id值:
在前端其实只能看到一个数据库的地址,用户密码。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等类型,危害瞬间扩大。