文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

熊海cms渗透测试

2023-09-06 16:27

关注

首先,先进行代码审计,丢进seay源代码审计系统自动审计,然后接着一个个手动分析代码

1.文件包含

/index.php 和admin/index.php代码如下

分析代码,接收传进来的参数r,进行addslashes过滤( 在每个双引号(")前添加反斜杠: ),然后进行判断,再进行文件包含,则这里是个文件包含漏洞,它加的过滤没效果,到files目录下加一个999.php,然后访问网页输出对应内容

2.SQL注入

看了Seay自动审计可能存在的漏洞,然后有些报的SQL注入有些是误报,如下面误报的文件,没有利用价值(个人认为)

1.admin/files/login.php

分析代码,post传用户名和密码,然后没有经过过滤,直接插进SQL语句中然后查询,这里存在SQL注入漏洞。

先是对user进行查询,user查询成功才进行password的判断,传进来的password经过MD5加密后与数据库的password对比。查询不成功则报错,mysql.error()函数是返回上一个 MySQL 操作产生的文本错误信息。

访问后台,用万能语句试一下1' and 1=1 --+,报错了

所以结合mysql.error()函数进行报错注入,将错误的信息给爆出来回显到页面里,这里我用最熟悉的updatexml()函数,函数里给了表为manage,去后台登录试一下,爆用户名

1' or updatexml(1,concat((select concat(0x7e,user) from manage)),3) #

回显用户名为admin,接着爆密码,这里提一下updatexml(),它爆出来的字段只有27位,而数据库的passwordMD5值是32位,所以要爆两次,相同部分拼接再进行MD5解密即可

1' or updatexml(1,concat((select concat(password,0x7e) from manage)),3) #

2.admin/files/editcolumn.php

自动审计报错了这个文件,但是在报错点没有找到问题,但我往上看来代码,发现了上面存在漏洞

传进来的id和type没有经过过滤,然后把传进来的id插进SQL语句中查询,然后不成功就报错,这样我们就跟上一个漏洞点一样,用报错注入把数据爆出来回显

?r=editcolumn&type=1&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

?r=editcolumn&type=1&id=1' and updatexml(1,concat((select group_concat(table_name) from information_schema.tables where table_schema = 'taco')),1)--+

但是表报的不完全,没有把manage爆出来,但我们在loign.php知道有manage这个表

?r=editcolumn&type=1&id=1' and updatexml(1,concat(0x7e,(select group_concat(user) from manage),0x7e),1)--+

3.admin/files/editlink.php、admin/files/editsoft.php、admin/files/editwz.php

也是报错点误报,但文件其他地方存在漏洞,也就是跟上面一样得意思,同样得漏洞

?r=editlink&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

爆出了数据库,其他操作都一样

4.admin/files/newlink.php

这里是post传参,然后也是没对那些参数过滤,然后插入进去创建新用户,这里处在SQL注入,也是报错注入获得数据, 构造闭合直接开注即可

?save=1&name=123&url=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and'

5.admin/files/reply.php

跟上面的一样,然后把数据库爆出来,接下来都是跟上面一样

?r=reply&id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+

6./files/content.php

传进来的cid经过addslashes过滤后直接查入,单引号都不加,这里存在漏洞,还有变量navid那里,都一样,跟上面一样

index.php/?r=content&cid=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

xss

1.files/contact.php

这里的传进来的page经过addslashes()过滤,addslashes()只过滤了'、"、\、NULL,仍然可以执行xss命令,这里是反射型xss

?r=contact&page=

2.files/list.php、files/download.php

这两个也是页数那里有问题,这个直接不过滤,payload也一样

csrf漏洞

admin/files/wzlist.php、admin/files/linklist.php

两个都是传进来的delete没有过滤,也没有token验证就直接删除掉,很明显存在csrf攻击的,这里利用burp的自带工具生成poc,然后换一个浏览器访问,就会把delete对应的数据删除,这道题我的burp出了问题抓不了包,所以演示不了,思路是根据pikachu靶场上的题然后推出来的,因为这道题没有任何验证

垂直越权

inc/checklogin.php

如果COOKIE中user为空,跳转到登陆窗。 所以要是COOKIE的user为admin的话,就会成功登录,很明显存在最简单的垂直越权,只要抓一个登录的数据包,在COOKIE里设置user=admin,即可登录admin

来源地址:https://blog.csdn.net/m0_64583632/article/details/127792133

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯