通过更改LOGO进行命令注入的故事

admin 2023年3月6日12:17:09评论30 views字数 1544阅读5分8秒阅读模式

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


侦查:


通常,上手‘宽范围’目标的第一件事就是找到公司的 ASN 和 CIDR,通过它们可以访问属于公司的 IP,拥有公司的 IP 对搜索的下一阶段非常有帮助。例如,当我们到达一个使用CDN的网站时,我们可以通过这些IP来找到该网站的源站IP或者获取每个IP的PTR记录,如果它处于活跃状态,我们可以访问 IP 上服务的域(类似于反向 A 记录)。或者可以做一个端口扫描,但必须验证IP上的服务是属于目标公司的。


首先可以在 https://bgpview.io 上搜索目标公司的名称,查看ASN,然后就是在ASN中查找实时IP,可以使用以下命令手动完成:


whois -h whois.radb.net -- '-i origin AS123' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq | mapcidr -silent | httpxasn:AS123


在这一步中,它获取 ASN 所有者的信息并使用 grep 命令从 whois 命令输出中提取 出CIDR。然后删除所有重复项并将结果传递给 mapcidr 以进行映射和 IP 转换,管道中的最后一步是使用 httpx 执行服务发现,同时还可以为 httpx 指定端口。


执行此流程的最简单的方法是将 Shodan 与此搜索查询一起使用:


asn:AS123


注意:Shodan ASN 搜索不适用于免费帐户,你必须拥有会员权限。

通过 Shodan 的配合,一共找到了大约 200 个 IP,在这其中对一个类似于管理面板的页面开展‘狩猎’。

漏洞发现:

目标是一个管理员登录页面,在查看Wappalyzer后,可以发现它是用PHP编写的。

通过更改LOGO进行命令注入的故事

首先想到的是在登录页面上测试 SQLi ,但并未成功。

接着,由于目标有一个文档根目录,于是可以使用 FFUF 对目录和文件进行扫描。

几分钟后,FFUF 找到了一个 401 响应代码的页面:

http://target.com/Config/


通过在浏览器中请求该页面,并在登录页面上测试了ADMIN:ADMIN,很幸运,它成功了!

通过更改LOGO进行命令注入的故事

详细查看该页面,发现了 js、css、images、data等几个文件夹,然而 images 文件夹中的一个 rar 文件引起了我的注意。

通过更改LOGO进行命令注入的故事

解压该文件发现一个.doc文件,管理员可以使用它来更改网站的LOGO和照片。


通过更改LOGO进行命令注入的故事

通过更改LOGO进行命令注入的故事

看到那个 changelogo.php 文件了吗?我能想到的第一件事就是在浏览器中向它发送请求,但响应包中没有看到任何内容。通过Burp的再次检查,发现该页面并未成功加载。

而在浏览器中测试它时,可以看到页面被重定向到 index.php,然后在检查该请求时,响应中的代码再次引起了我的注意:

通过更改LOGO进行命令注入的故事


通过更改LOGO进行命令注入的故事

如你所见,在这里可以上传文件,根据上传要求,我上传了一个 gif 文件,可以看到上传后的图片就保存在images文件夹中:

通过更改LOGO进行命令注入的故事

我尝试上传shell,但都没能成功:(除了.png 和 .gif 外,无法上传任何其它类型的文件,于是我开始在上传的文件中测试一些 RCE、SQL和SSTI:


由于是 PHP编写的,因此存在SQL注入的可能性较大,于是从SQL注入开始,但均未成功,在这之后,我开始测试一些RCE Payloads:

filename="test||sleep 30 ||.gif"

通过更改LOGO进行命令注入的故事

最终,通过侦查阶段找到的所有 IP 中搜索了类似该页面的标题,在同一个 IP 范围内,还发现了另一个完全相同的页面,同样存在该漏洞!


接下来就是报告些漏洞,几小时后,我的漏洞报告进入分类阶段:


通过更改LOGO进行命令注入的故事


希望你通过本篇文章能有所收获,如果觉得还不错的话,欢迎分享给更多喜爱的朋友们~


====正文结束====


原文始发于微信公众号(骨哥说事):通过更改LOGO进行命令注入的故事

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日12:17:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过更改LOGO进行命令注入的故事http://cn-sec.com/archives/1589332.html

发表评论

匿名网友 填写信息