前语
前次的那篇文章《一名代码审计新手的实战阅历与感悟》得到了不少读者的支撑,也得到了FreeBuf这个渠道的必定,这给了我这个菜的不能再菜的小菜鸟很大的决心。可是,不足之处仍是许多,比方...
前语
前次的那篇文章《一名代码审计新手的实战阅历与感悟》得到了不少读者的支撑,也得到了FreeBuf这个渠道的必定,这给了我这个菜的不能再菜的小菜鸟很大的决心。可是,不足之处仍是许多,比方文章中呈现的技能写得不行深化等等(这究竟和个人实力挂钩的)因而,我决议尽我所能,尽量的写深化一点,每次写文章都深化一点,总有一天会深到很深的点。
本篇文章首要叙述我在zzcms8.2中发掘到的缝隙,freebuf上已经有大佬写了这个cms的代码审计,当然,其他的渠道也有人写了。所以,我已然写了,那么必定是与他们的文章有所不同,缝隙也不同,进犯办法也不同,让读者读有所获。(新手能够考虑细心看看,后半部分有关于新手来说十分精彩的进犯演示)
缝隙调集
目录跳转读取灵敏信息
在zzcms8.2/baojia/baojia.php的第四行,引证了zzcms8.2/inc/top.php这个文件,如图:
我其时追寻了一下这个文件,发现这个文件在引证的时分,首要就进行了if逻辑判别,而if逻辑判别中,又有可控变量。因而,我其时咋一看的时分,就很置疑这儿,感觉这儿总或许存在一些问题。如图:
所以,我就打开网页看了一下,趁便抓个包瞧瞧。成果一看,哎,有点意思,代码是假如承受post恳求,那么就履行跳转操作。而咱们自动发送的恳求是get,那就阐明这个缝隙黑盒是百分之八九十测不出来的。黑盒又不知道这儿竟然还或许有post恳求,就算测验post恳求,也不知道参数是什么,因为前端压根没有这儿的参数。
在我的上一篇文章中,我也有个感觉黑盒测不出来的缝隙,可是谈论区大佬有人留言说黑盒能测出来,我细心想了想,确实也有或许,因为其时那个缝隙前端能找到参数。
可是,这儿就不相同了,无法猜想。不可思议的我就对白盒有了点小骄傲,哈哈。回归主题,已然服务器端接纳post恳求,那么我就将get恳求包使用burpsuite改形成post恳求包。
将get恳求包的数据格式以及内容改成post之后,我先测验了结构xss,可是通过几回测验,发现被html编码,单引号被转义。这就很为难了。
所以转化思路,已然是跳转,那么能不能跳转到灵敏文件?或许跳转到长途文件呢?假如要按跳转思路,那么必需要进行切断。而在目录跳转中,问号伪切断比较通用,不受版别约束。
如图,我结构了这样的post恳求包:
因为进行了伪切断,所以我这儿履行的跳转便是跳转到服务器根目录,读取我本地的服务器根目录灵敏信息:
我不清楚实在的网站根目录下是否也会存在这样的缝隙,可是,假如存在,那么损害仍是挺大的。
比方,方针网站有cdn,可是你依据这个缝隙就可直接发现方针网站的实在IP,在本地进行域名和IP绑定后,就能够直接绕过cdn。
逻辑缝隙导致个人灵敏信息走漏
在zzcms8.2/baojia/baojiaadd.php的183-213行中,假如在用户的cookie中获取到用户名,那么将会提取出该用户名的个人信息,回显到浏览器页面。
比方公司名(这个感觉不重要),实在名字,手机号码,emai。后边这三个信息我个人感觉是很重要的。会使用的人能使用出各种把戏,这儿咱们只沟通技能,不谈那些不合法使用,因而这儿怎么使用这些信息我就不写了。
下图是我回显出的测验信息:
缝隙复现的办法十分简略,只需你设置COOKIE的UserName为数据库中实在存在的用户名,那么就会得到该用户的这些信息。
下图,浏览器中的cookie信息
下图,该王二狗用户在我的数据库中实在存在:
为了愈加谨慎一点的证明这个缝隙,我又注册了一个test2用户,而且注销了test2用户的登录。然后,结构恳求包:
[1] [2] [3] [4] [5] 黑客接单网
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/7458.html
