好久前偶遇一个站点,前前后后大概挖了三个月才根本测试完毕,出了很多多少毛病,也有不少高危,如今对部分高危毛病进行总结分析。
nday进背景:
开局一个登录框:
[img=720,373.737]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708413.png[/img]
通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入背景。
语句:xxx体系历史毛病 or xxx平台历史毛病
[img=720,234.7232752084913]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708416.png[/img]
如上图,拼接payload,通过/../..;号实现权限绕过:
[img=720,416.9436997319035]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708417.png[/img]
302跳转进入背景,发现为管理员界面。
[img=720,175.9028831562974]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708418.png[/img]
进入一个体系时,一定不要发急立刻测试,要先总体看看这个体系的功能点,根本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
总体看了看体系功能点,便点进个人信息处,尝试文件上传毛病getshell。
[img=720,291.62185602775367]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708419.png[/img]
点击选择,随后页面进行了一个奇怪的跳转:新开了一个页面
[img=720,316.2857142857143]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708420.png[/img]
我先尝试文件上传,不外只能上传图片格式,我观察到该文件路径中存在:type=images,于是尝试将images自行修改,不外这种页面居然不能修改url,于是复制url放到正常浏览器访问,尝试修改无果。
【----资助网安学习,以下全部学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
发现页面存在修改文件后缀功能,但也被限制。
[img=720,417.2903225806452]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708421.png[/img]
这时我发现站点采用了ckfinder编辑器,于是按照:xxx历史毛病继续搜索:\
[img=720,401.8934911242604]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708422.png[/img]
翻看大量文章后并未发现能成功复现的毛病,但我发现了ckfinder的一个新路径:
将url的?后面全部删除进入如下界面:
[img=720,214.04011461318052]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708423.png[/img]
这时发现刚才原来只是处于images文件夹下,所以被限制很严酷。
于是我再次在files文件夹下上传可执行文件,但jsp和php之类均被限制,jspf或者jspx也无法绕过,只有尝试xss范例文件上传了:
[img=720,277.72727272727275]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708425.png[/img]
上传发现关键字被黑名单限制,于是先上传了一个空的txt文档,上传后再对内容,后缀名进行修改:
[img=720,425.80645161290323]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708426.png[/img]
修改如下:
双击访问:
[img=720,462.61682242990656]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708428.png[/img]
成功执行恶意js代码,造成弹窗,这种毛病就会很容易在管理员访问时,直接将cookie盗取。
同时记住,想这种功能点,属于站点较为深入的功能点处,还极可能存在未授权访问毛病,删除认证字段访问:
[img=720,239.67257844474761]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708429.png[/img]
访问成功,由此获得未授权访问加xss范例文件上传毛病。
这种范例毛病就可用作挂马,制作钓鱼页面等高危害操作。
多处sql注入毛病:
该站点功能点许多,这也是为什么我测了很久的原因:
[img=720,481.645885286783]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708430.png[/img]
注入点1:
颠末翻找发现如下页面,可直接执行sql语句:
[img=720,388.85771543086173]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708431.png[/img]
输入sql语句抓包查看:
[img=720,378.2918918918919]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708432.png[/img]
延时成功,虽然从设计功能点来看,这其实并不能算是毛病,因为自己开发者就是要这么设计的,但在挖掘毛病时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户暗码等。
注入点2:
功能点如下,此站点查询功能点极其多,但并不是每一个都有毛病,所以黑盒测试就须要一个个慢慢测试:
[img=720,325.8126195028681]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708433.png[/img]
抓包,输入单引号报错,两个单引号页面正常,尝试sql手注:
[img=720,371.47410358565736]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708434.png[/img]
利用堆叠注入延时成功。
数据库的遍历:
继续探索,发现如下页面:
[img=500,634.4605475040257]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708435.png[/img]
先前便提到过,黑河测试一定要将功能点转化为数据包,接口,参数进行测试,不然这时我可能只会看到一个数据库信息而已。
我翻看该功能点数据包时,直接就发现了显现该页面的请求包与返回数据:
[img=720,471.05312208760483]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708436.png[/img]
如上图,泄露了数据库地点,账户暗码。
但此时留意请求包参数:id=1,很显着,我直接遍历id值:
[img=720,463.7411526794742]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708437.png[/img]
在前端其实只能看到一个数据库的地点,用户暗码。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等范例,危害瞬间扩大。
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
