今天的分享从获取敏感数据角度出发,主要利用小程序逻辑漏洞,越权获取系统内所有个人敏感信息,以及利用文件上传绕过漏洞,拿到服务器shell进行内网横向。全文已重码,可放心食用!话不多说,上干货!!
有枣没枣打一杆子,先点进去看看!不过因为此时并没有注册,所以里面显示的是无信息状态。
莫慌,点进去时,bp抓包,此时返回暂无备案信息。
在请求包中发现可变参数是rows,那就先把rows值进行URL解码,解码后看到里面含有4个参数,分别为xm、pageNum、pageSize、userid。
这个时候划重点!!!小技巧来啦,我们可以直接把xm和userid的值全部置空,然后再放包,一点点权限限制都没的,最后就返回了系统车辆备案的所有用户信息。该说不说,越权乃程序员原罪。
在小程序内发现一处文件上传点,往下翻点击上传图片,上传任意图片抓取数据包,如下图:
将图片内容替换成webshell,然后重放数据包即可上传成功。
防守方也不是吃素的,这边刚刚上传成功,那边就迅速应急处置了。莫慌,打个时间差错峰试试!隔天再次上传图片的时候,发现网站已经做了限制。兵来将挡水来土掩,此路不通再寻他路。绕一手文件后缀瞧瞧看,绕了好几手,发现有WAF都返回为空。
死磕了许久,最后用asalndl.jsp(回车键)#.; 才给绕过去了。对上传内容检测并不严格,使用jspx利用命名空间绕过手法,成功上传,连接webshell 获取服务器权限,权限为root。
进去后发现服务器不出网,搭建一手正向代理干内网。
本次的两个漏洞均属于严重漏洞,一旦被攻击者利用,会造成后台所有数据的泄露,服务器权限被获取等风险,严重影响客户业务的正常运行,极有可能造成不可估量的损失。
业务逻辑攻击是一种网络攻击,网络攻击者利用应用程序的预期功能和流程,而不是其技术漏洞。通过操纵工作流程,绕过传统安全措施,并滥用合法功能来获得未经授权的访问或造成损害,且不触发安全警报。
原文始发于微信公众号(云科安信Antira):实战攻防|业务逻辑漏洞&文件上传绕过横扫内网实战复盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论