登录后台:
http://192.168.5.96/admin/index/index.html
进后台添加了一个用户名为 123 密码为 test1234 的用户 方便我们测试。这次从功能测试到审计
0x01 注入漏洞:
随便点击一个进去 测试后发现这个 pid 参数存在注入
http://192.168.5.96/index/login/login/token/060b24d94861c66b34898dcec08abc8a.ht ml这里用的 thinkphp 框架的路由 入口文件+模块/控制器/操作
所以此处注入对应的文件在 index 模块(aplication 应用目录)下的 goods 控制器的 goods 操作(函数)
这里因为我们是功能测试出来 pid 这个变量貌似有注入,所以我们关注这个变量走向即可
Input 方法是接收这个参数变量 不多讲
可以看到在接收了 PID 变量后带入了 GetProData 函数,看看这个函数怎么定义的
在 GetProData 函数中的 235 行开始到 237 行进行了数据库查询操作,可以看到变量 pid 在 237 直接带入 where 函数作为 pi.pid 参数的值进行查询,没有任何过滤导致注入,直到这里我们才确定是真的有注入
关于 tp5 自带的数据库查询方法函数大佬们可以多看看手册即可
0x02 后台登录绕过漏洞
后台地址:
http://192.168.5.96/admin/index/index.html 我们先登录正常管理账号。抓包分析发现有两个请求的包第一个:
Forward 第一个后,抓取到第二个:
测试发现第一个包发送后第二个包中的 cookie 里面有个 denglu 里面带着有个参数 uid,很有可能是用户的标号,极有可能后台通过第二个包判断登录权限, 我们重新打开一个没有登录的页面
denglu=think%3A%7B%22otype%22%3A%223%22%2C%22userid%22%3A%221%22%2C%22username%22%3A%22admin%22%2C%22token%22%3 A%223c341b110c44ad9e7da4160e4f865b63%22%7D
我们带上那个正常包的 cookie 字段中的 denglu 这个参数
登录成功,但是不确定是否有漏洞,因为这里的 uid 和 username 可以伪造,但是有个 token 参数,如果是随机生成那么是不存在越权,所以我们继续看源码确定漏洞。
找到 admin 下的 login 控制器
往下找 可以看到这处
这里的 token 只是对一个字符串”nimashabi”进行 md5 加密,也就说是固定的,所以我们 cookie 加那个固定的 denglu 参数直接可以越权,存在漏洞
0x03 后台 Getshell
Getshell部分我们重点关心上传点和写入文件之类的功能。后台发现此处有个上传点,这里是修改前台相关信息和图标的。
我们查看元素,看看接收文件上传的 php 在什么位置
admin/setup/editconf.html
Admin 模块下的 setup 控制器的 editconf 函数,找到对应位置
可以看到这里没有任何类型判断 直接上传
我们来测试一下,上传一个一句话后访问前台
0x04 前台越权改密码
我们来前台修改密码,尝试 csrf 漏洞
先登录”客户”账号,登录成功后点击修改密码,抓包来到这里修改
因为格式问题 填写账号手机号的时候先改成手机号的长度,抓包
这里手机号就代表用户名,我们这里登录的是手机号为 1 的”客户”帐号,尝试把手机号改成2(另一个名为“黑阔”账号的手机号就为2),新密码改成 111111,关于手机验证码在真实环境中爆破即可
我们来看下源码,确认漏洞。
因为刚才那个修改的密码的包请求的是这个 html,我们看看这个模块里表单提交的地址是什么
找到了修改密码操作的位置 login/repass
关键代码 首先是接收 post 过来的值 里面包含我们手机号,先带入数据库查询手机号是否存在
其次对验证码校验,这个我们可以爆破,最后直接修改密码,存在漏洞。
0x05 前台 getshell
因为前面 0x02 可以绕过登录,只需要 cookie 加上那个管理的信息就可以,加上0x02 可以直接上传 ,我们直接构造管理员的上传包可以直接 getshell。
0x06 源码下载
(特此声明,资源来自于网络,仅作学习交流之用,请于下载24小时内删除!后门自测!限时自文章发出24小时之内获取!)
关注公众号,回复:微盘交易即可获取源码!
【往期推荐】
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
本文始发于微信公众号(渗透Xiao白帽):微X盘多个0day+源码(限时下载)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论