中科白癜风公益活动 https://m.39.net/baidianfeng/a_5476801.html雨笋教育小编今日份分享我们渗透讲师的一篇技术干货!对于一次开源管理系统的源码审计,小试牛刀,记录一下,顺便可以一起学习学习。开源系统:熊海CMSv1.0基于环境:Phpstudy不说了,先搭建一波,再来看看审计~点击-提交-入魂~好了,让我们打开源代码审计系统冲一波,把源码拖进来,冲~自动审计后,发现有34个可疑漏洞,接下来就得来排查,看有没有的的确确可利用的。漏洞发掘:/index.php与/admin/index.php存在文件包含漏洞分析一波:我们发现定义了一个r,并且使用GET方式传输,只用了一个addslashes(返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上反斜线。这些字符是单引号、双引号、反斜线或NULL等)。然后通过include函数,直接包含并运行文件。尝试利用:根目录-新建一个phpinfo.php文件,内容为:?phpphpinfo();?Payload:..3./?r=../phpinfo成功利用。/inc/checklogin.php存在越权漏洞PS:这个漏洞的话,自动审计并没有检测出来,但是inc目录下一般存储的都是一些极为重要的配置文件,所以一定要打开看看。分析一波:发现定义了一个user参数传递到Cookie当中,然后用if判断传递到Cookie中的user参数,值是否为空,如果为空,跳转到登录界面。没有任何过滤,我们试想一下,如果自主添加一个user并且赋值,会有什么效果。尝试利用:先登入后台,获得路径,然后注销登录。Payload:..3./admin/?r=wzlist现在右上角这里有用户名显示,因为我们现在是正常登录进入后台的。退出登录后,直接使用Cookie管理插件,新建一条Cookie值,名为user,值自定义,不为空即可。然后,重新访问后台的url看看。我们可以发现,右上角没有用户名显示,因为我们是绕过了登录,越权进入的后台。而且,管理员可以使用的权限,我们全部拥有。/admin/files/manageinfo.php储存型XSS分析一波:我们发现后台资料修改界面,没有任何过滤。尝试利用:构造语句,尝试利用。Payload:imgsrc=1=alert(/xss/)/files/content.php存在Sql注入漏洞分析一波:我们发现id并没有被引号包裹,由此存在了注入。尝试利用:构造语句,进行尝试。Payload:..3./?r=contentcid=16andupdatexml(1,concat(0x7e,(selectconcat(user,0x7e,password)frommanage)),0)成功通过报错注入获得内容。其实,这个CMS漏洞远不止如此,先写到这了,hhhh~*本文章仅供技术交流分享,请勿做未授权违法攻击,雨笋教育不负任何责任。具体请参考《网络安全法》。
转载请注明:http://www.aierlanlan.com/grrz/9663.html
