山东泽鹿安全

威胁管理   漏洞运营   应急响应

原创声明：泽鹿安全原创文章，欢迎转载，请注明出处！

ID : 秋水

拿到授权系统IP，首先测一下目录找后台，Nmap扫一下端口，看看后台是不是在其他端口就可以了，这里很简单，后台很好找，就在Admin目录下，如下图

先看一下前台

1.  SQL注入漏洞

一般情况下还是想看看新闻详情页面，总觉得此页面会存在漏洞，但是很不友好，此页面测试了一下，过滤的相当全面

只能换个页面，新闻列表，此页面是存在注入的

但是测试了之后会发现输入and 1和and 0都是错误页面，换&&或者%26都不行，OR和XOR也都不行，order by也返回错误，注释符号也返回错误，那现在只希望这个传参的类型是整型的了。

事实证明id=2-1返回了和id=1一样的数据

那这里就很简单了，直接在1的位置输入payload就可以

比如：id=105-ascii(substring((DB_NAME()),1,1))，说明第一个字符的ascii值为104

过，我不想注入拿密码，后来事实证明真的解不出来

2.   弱口令？

是弱口令吗，我反正admin/admin进了后台

成功跳转了index，但是这个cookie相当可疑啊！我用的admin登录的。U_ID=2就忍了，Name怎么还成user了，莫不是。。。但这里依然不能确定，但是这cookie的样子不是未授权就是越权啊

3.   未授权访问

于是乎尝试一波未授权，毕竟还是要写报告的

直接访问index页面，会有弹窗，身份过期，但是在你点击确定之后才跳转登陆页面，这就已经是漏洞了，如果能访问到东西，那就未授权无疑了

而这种弹窗，非常好过的，把返回包的js代码删了就行，如下图

页面停留在了，后台页面

这种程度吧，其实应该也算未授权了，相当于后台整体框架被泄露，但是应该是个低危。于是乎测试了一下是否存在接口未授权，只能说某些接口吧。比如上面的上传，就是只能看，上传提交的页面会对身份信息进行验证，但是查看用户页面就不存在，直接查看，所有用户名和密码，如下图

从返回信息的密码里面我尝试解码一波，16位应该是md5，但是没有解出来，admin这种口令按说肯定可以撞出来啊，为了进一步确定猜想，我看到user的密码和admin的密码是一样的

尝试登录user用户，口令为admin，登录失败，wtf？

应该就是了不是弱口令，可能是某程序员镶嵌在代码里的万能账户，无论修改密码与否，admin/admin是都能登录的，不知道算个啥洞

4.   文件上传之zip

为什么要把这个东西提一下，因为真的发现了，漏洞不一定上传脚本语言才是危害大。你可以上传html，有人可能会问html能干嘛？首先钓鱼，哥哥们都知道；st2里面存在可利用Webconsole的页面，你可以上个html的前置跳转页完成利用；甚至对于这种国家单位来说，你传个某些方向言论的html，简直是不好描述，妥妥的高危。而我今天选择了上传zip，哈哈哈

其实因为上传shell的方式我实在没绕过去，白名单加重命名一般就不想了，巧了zip是白名单

为什么说这个传zip是个漏洞呢，先来看看前台某页面

这里的文件基本都是zip和rar的，供系统用户下载。而且，比如flash是必须装的，不然不能正常访问此系统，那么问题就来了，如果这个上传点可控，我可以直接压缩一个反弹马啊。

然后我找到了就是下面这个页面，自建资源

接下来，我们就可以用msf生成一个exe的反弹shell的木马文件，

改个名，压缩一下，免杀的话这里不提，只是思路，如下图flash.zip

成功上传，如图

看看前台效果，如下

然后打开我们的msf设置payload后监听。

成功回弹，如下

接下来对于Windows终端可以进行提权，一般windows都是在administrators组里面，我们需要过一下UAC。这里可以适用msf的exploit/windows/local/ask模块，如下

成功得到system权限。

如果你觉得依靠用户发现后下载太慢的话，你甚至还可以发个公告，告诉大家，flash插件改更新了，反正你有万能账户。端起茶叶水，等着shell回弹。

此漏洞针对用户终端设备，但是可以获取大量敏感信息，比如用户信息，如果拿到相关单位信息科的某电脑，甚至可以直接获取大量登录账号密码。

总结

觉得这种有一点点意思，分享下，在我们日常挖洞中，可能某些不起眼的功能，会带来较大的危害。