用户
搜索

[web安全] 记一次漏洞挖掘

  • TA的每日心情
    开心
    2021-4-28 10:54
  • 签到天数: 27 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-见习白帽

    Rank: 3Rank: 3

    2

    主题

    13

    帖子

    575

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-3-23
    发表于 2021-4-12 10:12:43 37317
    写在前面
    记录一次项目中漏洞挖掘的过程,文中使用到的技术粗略浅显,仅用来回顾总结。
    公司授权项目,目前漏洞已修复,若文中存在漏点之处,各位看官切勿擅自发起攻击,否则产生的一切法律后果自行承担!

    挖掘过程
    打开首页:

    1.png

    发现右侧有两个用户组注册,果断选择先注册:

    2.png

    注册页面存在两处上传,尝试利用上传功能getshell,发现采用白名单上传,且网站中间件为nginx,测试发现不存在解析漏洞,此路不通。
    发现注册时,可以填写备注信息,盲打一波xss,提交注册,然后我们可以等待cookie的到来。

    3.png

    这里运气不错,等待了几分钟平台就收到了cookie,管理员还是比较爱岗敬业的,手动笑抽。
    拿到cookie我们就直接进后台了,进后台自然是优先寻找文件上传点尝试getshell,寻找了一圈发现唯一的一处上传跟注册页面的上传一样是白名单验证,遂放弃。

    4.png

    不过我们发现了一处功能存在id参数,随手加个单引号:

    5.png

    发现添加了魔术引号过滤,但是id属于int型变量,不需要单引号闭合,故确定此处存在SQL注入。为了省事直接丢sqlmap了,但是发现跑不出:

    6.png

    从报错的结果来看,怀疑是存在WAF,我们手工尝试一下,先查询user:

    or updatexml(1,concat(0x7e,user(),0x7e),1)

    直接链接被重置,一般情况下大多数WAF会过滤concat()函数,因此我们尝试内联注释绕过:

    or updatexml(1,concat/*!50001*/(0x7e,user(),0x7e),1)

    7.png

    嗯,问题不大,FUZZ过后,发现SELECT也会过滤,加上内联注释后可绕过:

    or updatexml(1,concat/*!50001*/(0x7e,(select/*!50001*/table_name from information_scheama.tables where table_schema=database()),0x7e),1)

    最终查询数据:

    8.png

    可惜的是数据库不是dba权限,在后台继续fuzz后,发现了另外两处注入,不过后台功能比较少,暂时没有更多发现。

    最后
    本次漏洞挖掘,虽然没能成功拿下shell,但是共发现了两处存储型XSS,三处SQL注入(均在后台),算是有点收获,打完交差~


    欢迎关注我的个人公众号:黑客前沿
    下班!
    使用道具 举报 回复
    发表于 2021-4-12 21:51:47
    既然都注册了前台用户,为何不尝试在前台挖掘高危漏洞
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    发表于 2021-4-13 16:04:59
    挖洞还是得多看大佬操作
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册