雨筍教育乾貨分享:分析開源系統的原始碼漏洞
雨筍教育小編今日份分享我們滲透講師的一篇技術乾貨!
對於一次開源管理系統的原始碼審計,小試牛刀,記錄一下,順便可以一起學習學習。
開源系統:熊海CMS v1。0
基於環境:Phpstudy
不說了,先搭建一波,再來看看審計~
點選-提交-入魂~
好了,讓我們開啟原始碼審計系統衝一波,把原始碼拖進來,衝~
自動審計後,發現有34個可疑漏洞,接下來就得來排查,看有沒有的的確確可利用的。
漏洞發掘:
/index。php 與 /admin/index。php 存在檔案包含漏洞
分析一波:
我們發現定義了一個 r ,並且使用 GET 方式傳輸,只用了一個 addslashes(返回字串,該字串為了資料庫查詢語句等的需要在某些字元前加上反斜線。這些字元是單引號、雙引號、反斜線或NULL等)。
然後透過 include 函式,直接包含並執行檔案。
嘗試利用:
根目錄-新建一個 phpinfo。php 檔案,內容為:
Payload:
192。168。3。158/?r=。。/phpinfo
成功利用。
/inc/checklogin。php 存在越權漏洞
PS:這個漏洞的話,自動審計並沒有檢測出來,但是 inc 目錄下一般儲存的都是一些極為重要的配置檔案,所以一定要開啟看看。
分析一波:
發現定義了一個 user 引數傳遞到 Cookie 當中,然後用 if 判斷傳遞到Cookie 中的 user引數,值是否為空,如果為空,跳轉到 登入介面。
沒有任何過濾,我們試想一下,如果自主新增一個 user 並且賦值,會有什麼效果。
嘗試利用:
先登入後臺,獲得路徑,然後登出登入。
Payload:
192。168。3。158/admin/?r=wzlist
現在右上角這裡有使用者名稱顯示,因為我們現在是正常登入進入後臺的。
退出登入後,直接使用 Cookie 管理外掛,新建一條Cookie 值,名為 user ,值自定義,不為空即可。 然後,重新訪問後臺的 url 看看。
我們可以發現,右上角沒有 使用者名稱 顯示,因為我們是繞過了登入,越權進入的後臺。而且,管理員可以使用的許可權,我們全部擁有。
/admin/files/manageinfo。php 儲存型XSS
分析一波:
我們發現後臺資料修改介面,沒有任何過濾。
嘗試利用:
構造語句,嘗試利用。
Payload:
“>=1 =alert(/xss/)>
/files/content。php 存在Sql注入漏洞
分析一波:
我們發現 $id 並沒有被引號包裹,由此存在了注入。
嘗試利用:
構造語句,進行嘗試。
Payload:
192。168。3。158/?r=content&cid=16 and updatexml(1,concat(0x7e,(select concat(user,0x7e,password) from manage)),0)
成功透過報錯注入獲得內容。
其實,這個CMS漏洞遠不止如此,先寫到這了,hhhh~
*本文章僅供技術交流分享,請勿做未授權違法攻擊,雨筍教育不負任何責任。具體請參考《網路安全法》。
相關文章
- 2021-08-18蘋果秒變小米! 大神成功為iPhone刷入MIUI, 網友: 這是圖個啥?
- 2021-07-09《GTA5》暫未修復的“BUG”有哪些?全圖傳送功能你會嗎?
- 2021-06-25領導說PHP已經過時了, 讓我滾! !
- 2021-04-26「網路安全自學篇」駭客攻防和實戰程式設計看這篇就夠了(內含實戰)
- 2021-03-29微軟軟體存漏洞, 駭客組織乘虛而入, 你的電腦還安全嗎