山東澤鹿安全

威脅管理? ?漏洞運(yùn)營(yíng)? ?應(yīng)急響應(yīng)

原創(chuàng)聲明：澤鹿安全原創(chuàng)文章，歡迎轉(zhuǎn)載，請(qǐng)注明出處！

ID : 秋水

拿到授權(quán)系統(tǒng)IP，首先測(cè)一下目錄找后臺(tái)，Nmap掃一下端口，看看后臺(tái)是不是在其他端口就可以了，這里很簡(jiǎn)單，后臺(tái)很好找，就在Admin目錄下，如下圖

先看一下前臺(tái)

1. ?SQL注入漏洞

一般情況下還是想看看新聞詳情頁(yè)面，總覺(jué)得此頁(yè)面會(huì)存在漏洞，但是很不友好，此頁(yè)面測(cè)試了一下，過(guò)濾的相當(dāng)全面

只能換個(gè)頁(yè)面，新聞列表，此頁(yè)面是存在注入的

但是測(cè)試了之后會(huì)發(fā)現(xiàn)輸入and 1和and 0都是錯(cuò)誤頁(yè)面，換&&或者%26都不行，OR和XOR也都不行，order by也返回錯(cuò)誤，注釋符號(hào)也返回錯(cuò)誤，那現(xiàn)在只希望這個(gè)傳參的類(lèi)型是整型的了。

事實(shí)證明id=2-1返回了和id=1一樣的數(shù)據(jù)

那這里就很簡(jiǎn)單了，直接在1的位置輸入payload就可以

比如：id=105-ascii(substring((DB_NAME()),1,1))，說(shuō)明第一個(gè)字符的ascii值為104

過(guò)，我不想注入拿密碼，后來(lái)事實(shí)證明真的解不出來(lái)

2. ? 弱口令？

是弱口令嗎，我反正admin/admin進(jìn)了后臺(tái)

成功跳轉(zhuǎn)了index，但是這個(gè)cookie相當(dāng)可疑啊！我用的admin登錄的。U_ID=2就忍了，Name怎么還成user了，莫不是。。。但這里依然不能確定，但是這cookie的樣子不是未授權(quán)就是越權(quán)啊

3. ? 未授權(quán)訪問(wèn)

于是乎嘗試一波未授權(quán)，畢竟還是要寫(xiě)報(bào)告的

直接訪問(wèn)index頁(yè)面，會(huì)有彈窗，身份過(guò)期，但是在你點(diǎn)擊確定之后才跳轉(zhuǎn)登陸頁(yè)面，這就已經(jīng)是漏洞了，如果能訪問(wèn)到東西，那就未授權(quán)無(wú)疑了

而這種彈窗，非常好過(guò)的，把返回包的js代碼刪了就行，如下圖

頁(yè)面停留在了，后臺(tái)頁(yè)面

這種程度吧，其實(shí)應(yīng)該也算未授權(quán)了，相當(dāng)于后臺(tái)整體框架被泄露，但是應(yīng)該是個(gè)低危。于是乎測(cè)試了一下是否存在接口未授權(quán)，只能說(shuō)某些接口吧。比如上面的上傳，就是只能看，上傳提交的頁(yè)面會(huì)對(duì)身份信息進(jìn)行驗(yàn)證，但是查看用戶(hù)頁(yè)面就不存在，直接查看，所有用戶(hù)名和密碼，如下圖

從返回信息的密碼里面我嘗試解碼一波，16位應(yīng)該是md5，但是沒(méi)有解出來(lái)，admin這種口令按說(shuō)肯定可以撞出來(lái)啊，為了進(jìn)一步確定猜想，我看到user的密碼和admin的密碼是一樣的

嘗試登錄user用戶(hù)，口令為admin，登錄失敗，wtf？

應(yīng)該就是了不是弱口令，可能是某程序員鑲嵌在代碼里的萬(wàn)能賬戶(hù)，無(wú)論修改密碼與否，admin/admin是都能登錄的，不知道算個(gè)啥洞

4. ? 文件上傳之zip

為什么要把這個(gè)東西提一下，因?yàn)檎娴陌l(fā)現(xiàn)了，漏洞不一定上傳腳本語(yǔ)言才是危害大。你可以上傳html，有人可能會(huì)問(wèn)html能干嘛？首先釣魚(yú)，哥哥們都知道；st2里面存在可利用Webconsole的頁(yè)面，你可以上個(gè)html的前置跳轉(zhuǎn)頁(yè)完成利用；甚至對(duì)于這種國(guó)家單位來(lái)說(shuō)，你傳個(gè)某些方向言論的html，簡(jiǎn)直是不好描述，妥妥的高危。而我今天選擇了上傳zip，哈哈哈

其實(shí)因?yàn)樯蟼鱯hell的方式我實(shí)在沒(méi)繞過(guò)去，白名單加重命名一般就不想了，巧了zip是白名單

為什么說(shuō)這個(gè)傳zip是個(gè)漏洞呢，先來(lái)看看前臺(tái)某頁(yè)面

這里的文件基本都是zip和rar的，供系統(tǒng)用戶(hù)下載。而且，比如flash是必須裝的，不然不能正常訪問(wèn)此系統(tǒng)，那么問(wèn)題就來(lái)了，如果這個(gè)上傳點(diǎn)可控，我可以直接壓縮一個(gè)反彈馬啊。

然后我找到了就是下面這個(gè)頁(yè)面，自建資源

接下來(lái)，我們就可以用msf生成一個(gè)exe的反彈shell的木馬文件，

改個(gè)名，壓縮一下，免殺的話(huà)這里不提，只是思路，如下圖flash.zip

成功上傳，如圖

看看前臺(tái)效果，如下

然后打開(kāi)我們的msf設(shè)置payload后監(jiān)聽(tīng)。

成功回彈，如下

接下來(lái)對(duì)于Windows終端可以進(jìn)行提權(quán)，一般windows都是在administrators組里面，我們需要過(guò)一下UAC。這里可以適用msf的exploit/windows/local/ask模塊，如下

成功得到system權(quán)限。

如果你覺(jué)得依靠用戶(hù)發(fā)現(xiàn)后下載太慢的話(huà)，你甚至還可以發(fā)個(gè)公告，告訴大家，flash插件改更新了，反正你有萬(wàn)能賬戶(hù)。端起茶葉水，等著shell回彈。

此漏洞針對(duì)用戶(hù)終端設(shè)備，但是可以獲取大量敏感信息，比如用戶(hù)信息，如果拿到相關(guān)單位信息科的某電腦，甚至可以直接獲取大量登錄賬號(hào)密碼。

總結(jié)

覺(jué)得這種有一點(diǎn)點(diǎn)意思，分享下，在我們?nèi)粘Ｍ诙粗?#xff0c;可能某些不起眼的功能，會(huì)帶來(lái)較大的危害。

總結(jié)

以上是生活随笔為你收集整理的uniapph5授权成功后返回上一页_记一次授权系统的安全测试的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。