0


熊海cms渗透测试

首先,先进行代码审计,丢进seay源代码审计系统自动审计,然后接着一个个手动分析代码

1.文件包含

/index.php 和admin/index.php代码如下

分析代码,接收传进来的参数r,进行addslashes过滤( 在每个双引号(")前添加反斜杠: ),然后进行判断,再进行文件包含,则这里是个文件包含漏洞,它加的过滤没效果,到files目录下加一个999.php,然后访问网页输出对应内容

2.SQL注入

看了Seay自动审计可能存在的漏洞,然后有些报的SQL注入有些是误报,如下面误报的文件,没有利用价值(个人认为)

1.admin/files/login.php

分析代码,post传用户名和密码,然后没有经过过滤,直接插进SQL语句中然后查询,这里存在SQL注入漏洞。

先是对user进行查询,user查询成功才进行password的判断,传进来的password经过MD5加密后与数据库的password对比。查询不成功则报错,mysql.error()函数是返回上一个 MySQL 操作产生的文本错误信息。

访问后台,用万能语句试一下1' and 1=1 --+,报错了

所以结合mysql.error()函数进行报错注入,将错误的信息给爆出来回显到页面里,这里我用最熟悉的updatexml()函数,函数里给了表为manage,去后台登录试一下,爆用户名

1' or updatexml(1,concat((select concat(0x7e,user) from manage)),3) #

回显用户名为admin,接着爆密码,这里提一下updatexml(),它爆出来的字段只有27位,而数据库的passwordMD5值是32位,所以要爆两次,相同部分拼接再进行MD5解密即可

1' or updatexml(1,concat((select concat(password,0x7e) from manage)),3) #

2.admin/files/editcolumn.php

自动审计报错了这个文件,但是在报错点没有找到问题,但我往上看来代码,发现了上面存在漏洞

传进来的id和type没有经过过滤,然后把传进来的id插进SQL语句中查询,然后不成功就报错,这样我们就跟上一个漏洞点一样,用报错注入把数据爆出来回显

?r=editcolumn&type=1&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

?r=editcolumn&type=1&id=1' and updatexml(1,concat((select group_concat(table_name) from information_schema.tables where table_schema = 'taco')),1)--+

但是表报的不完全,没有把manage爆出来,但我们在loign.php知道有manage这个表

?r=editcolumn&type=1&id=1' and updatexml(1,concat(0x7e,(select group_concat(user) from manage),0x7e),1)--+

3.admin/files/editlink.php、admin/files/editsoft.php、admin/files/editwz.php

也是报错点误报,但文件其他地方存在漏洞,也就是跟上面一样得意思,同样得漏洞

?r=editlink&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

爆出了数据库,其他操作都一样

4.admin/files/newlink.php

这里是post传参,然后也是没对那些参数过滤,然后插入进去创建新用户,这里处在SQL注入,也是报错注入获得数据, 构造闭合直接开注即可

?save=1&name=123&url=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and'

5.admin/files/reply.php

跟上面的一样,然后把数据库爆出来,接下来都是跟上面一样

?r=reply&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

6./files/content.php

传进来的cid经过addslashes过滤后直接查入,单引号都不加,这里存在漏洞,还有变量navid那里,都一样,跟上面一样

index.php/?r=content&cid=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

xss

1.files/contact.php

这里的传进来的page经过addslashes()过滤,addslashes()只过滤了'、"、\、NULL,仍然可以执行xss命令,这里是反射型xss

?r=contact&page=<script>alert(1)</script>

2.files/list.php、files/download.php

这两个也是页数那里有问题,这个直接不过滤,payload也一样

csrf漏洞

admin/files/wzlist.php、admin/files/linklist.php

两个都是传进来的delete没有过滤,也没有token验证就直接删除掉,很明显存在csrf攻击的,这里利用burp的自带工具生成poc,然后换一个浏览器访问,就会把delete对应的数据删除,这道题我的burp出了问题抓不了包,所以演示不了,思路是根据pikachu靶场上的题然后推出来的,因为这道题没有任何验证

垂直越权

inc/checklogin.php

如果COOKIE中user为空,跳转到登陆窗。 所以要是COOKIE的user为admin的话,就会成功登录,很明显存在最简单的垂直越权,只要抓一个登录的数据包,在COOKIE里设置user=admin,即可登录admin


本文转载自: https://blog.csdn.net/m0_64583632/article/details/127792133
版权归原作者 tacokings 所有, 如有侵权,请联系我们删除。

“熊海cms渗透测试”的评论:

还没有评论