对某cms精彩刺激的黑盒渗透测试 – 作者:G0tHji

        今天给大家分享一次我在挖掘漏洞中遇到过的一个奇葩的CMS,该CMS大多是都是用于一些网络商城站点,下面我会给大家一一展示漏洞挖掘以及过程,我大致将挖掘过程分为四个部分:未授权访问、IDOR、密码重置以及XSS+文件写入Getshell。废话不多说下面直接开始!

漏洞1:未授权访问

0x01、在平常的漏洞挖掘中我每次拿到网站的第一件事就是查看网站的robots.txt目录,它通常告诉网络搜索引擎的网络蜘蛛网站中的哪些内容是不应被搜索引擎的网络蜘蛛爬取的,如网站的后台登录地址等等。可当我们访问robots.txt文件时提示404,说明该网站并未部署robots

9U@VK]3A{HWS](DYWN(8G_B.png

0x02、查看robots.txt无果后我又对改站点用御剑对进行了扫描,扫描出一个为:/admin/editoradmin/upload.asp的根目录

N%WT6OS%~PILZTK(A$05V1W.png

0x03、我们直接访问该url,发现在未登录后台的情况下便可以直接对该目录进行访问以及下载和删除等敏感操作。该目录存放的是网站的一些配置文件,大多数都是一些图片文件等。]E$`%{S`ATAH@O{CIKH_Y7A.png }2(Z)V`S]M6}`C1QV[U]Q0I.png

漏洞2:平行越权(IDOR)

0x01、为了不影响网站其他用户的正常使用我们注册了两个账号来进行模拟攻击

A账号:username           (攻击者账号) 

B账号:username1         (受害者账号)

0x02、首先用A账号进行登录,登录成功后进入到A账号的会员管理页面

)U_4D~V0JMTBB_{GEAQ](YM.png

0x03、点击修改密码并且用burp拦截该数据包,在数据包中可以看到有一个参数为:username=username,初步分析该参数中的username为我们的A账号

K]J3_F8XM_YE%$@TYM9F$%6.png

0x04、将数据包中的参数:username=username更改为username=username1,也就是将数据包中的A账号修改为我们的B账号,修改完毕后发包。LK1~VHU)DQ{@YSPCZBN4]WW.png

0X05、此时可以看到我们已经成功越权到了B账号!我们输入密码进行修改并且拦截该数据包,将数据包中的参数username=username更改为:username=username1,修改完毕后发送数据包

{ERB%E7_9(P9}O5GVKROEB8.png

提示密码修改成功!

%8CY2)D2_DJY%)T3VSV0YND.png

漏洞三:密码重置漏洞

找回密码共分为三个流程:输入用户名——验证密保答案——输入新密码,下面我会演示用A用户来重置B用户的登录密码

0x01首先来到找回密码处,输入我们的A账号(username)进入下一步

8O%MRM0FF3]%2V%W7BZTBCK.png

0x02、输入我们密保问题的答案,我们设置的答案为:11111111,输入完毕后进入下一步

V8OKW]P(D2XC56GIO)IDDLO.png

0x03、此时我们已经来到了重置密码的步骤,先输入想要修改的新密码并且使用burp抓取该数据包,通过观察数据包我们可以看到在数据包中的的头部和Referer中有都一个参数为:usernam=username,初步判断数据包中的username为我们的A用户,我们将他改为username=username1,也就是我们的B账号,更改完毕后发送更改后的数据包

KV{WG%7~92IKO{{`HTNXOXS.png

0x04、提示密码修改成功8EE24(L_[OK9POQT{$U$%4G.png

0x05、我们用修改后的密码对B账号进行登录来验证重置的密码是否有效,

账号:username1

密码:123456789

J(`~J)JQC3Y7I]3LZM~KKBU.png 七、登录成功

9A~$(OT%CTFPEU@S1DLH8RK.png

漏洞四、反射XSS+文件写入GetShell

0x01、xss出现在网站的搜索模块,在搜索处插入payload

<img src=x onerror=alert(0)>

X)9`9EQ7WUAH~I9ZHXBC6E8.png

弹窗成功弹出!

0x02、在xss平台构造好poc后通过网站的留言功能发送到网站后台,然后就等管理员上线,经过漫长的等待成功获取到了管理员的cookie(其实刚开始压根没抱有太大希望)但功夫不负有心人!

EF{O2(@3OXDFGZN6UV{CR$V.png

0x03、进入到后台后发现网站有数据库备份功能,发布一个新文章,内容和标题全部为:┼攠數畣整爠煥敵瑳∨≡┩愾(数据库备份专用一句话),文章发布成功后进行数据库备份。RJZ]5`HK6TR@6OSQCM5W}~P.png
0x04、数据库备份成功返回给了我们一个地址,使用XISE连接返回的数据库备份的地址,便成功的获取到了网站的webshell

SKII}0T)PTY5BMK~`G5]UJ0.png

       是的,你没看错以上漏洞均是来自同一个网站!并且经过多次尝试发现使用该CMS的商城站基本都存在以上漏洞,这种漏洞的后端逻辑问题也是层出不穷这里就不进行过多演示了。文章中逻辑漏洞较多因此也没有太大的技术含量,仅仅是分享一个思路,希望本文对一些初入网安的小白有一定的帮助!

来源:freebuf.com 2020-04-07 17:29:11 by: G0tHji

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论