在挖掘某src漏洞的时候发现一个登陆系统,测试弱口令无果,遂开启f12大法,页面长啥样我就不放了,懂得都懂,废话不多说直接上干货。
漏洞挖掘
在前端代码中查看登陆点功能,发现有一段验证身份的代码,直接执行select语句查询当前用户的身份,且将查询语句传入sqlxxx(sql)。
根据sqlxxx(sql)进一步追踪发现sql语句直接拼接执行,最后将一个服务参数及sql语句传入websexxx()。
继续追踪websexxxx(),发现最终请求数据包,其中将之前的一个服务参数传递webxxxxurl()。
通过跟踪webxxxxurl()发现一个路径拼接,通过传入前边的服务参数及当前时间戳和随机数构成一个完整的请求路径。
现在我们随便输入一个账号密码进行登陆查看网站的请求,成功找到该漏洞点,且查看具体数据包确实是前端代码中看到的请求。
我们对其语句进行更改,查询数据库版本,执行select+@@version()发现没有反应,猜测有可能不是sql数据库;
尝试SELECT+*+FROM+V$VERSION成功执行语句,确定该cms用的是oracle数据库。
oracle数据库也是跟sql的xp_cmdshell一样可以执行系统命令的,但是生产系统就不乱搞了,点到为止。
这开发建议换个人;
对系统相关代码进行整改,删除前端敏感代码,增加鉴权;
过滤用户输入的内容,检查用户输入的内容中是否有非法内容。
通过fofa查询相关产品有三百多个,提交漏洞打完收工。
扫码加群
公众号新功能可自行探索
原文始发于微信公众号(南街老友):从src到某系统通用漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论