可以发一下环境吗
前期
前段时间做的东西属实是有点偏难不友好。这几天静下心来继续弄点稍微简单的。就直接进行审计把。不说那么多,环境部署好了,开干。
说一下我审计的前提准备。过滤器是一定要看的。当然才开始审计的时候可能会看的比较恼火,看不懂当我没说。简单的还是要看一下。涉及到一些函数处理的可以等到实际挖洞的时候再跟也行。然后就是cms的整个架构,哪个模块对应什么功能都是需要了解的比较透彻。涉及框架的,框架的漏洞涉及的组件要清楚,框架的配置文件再看看。就开冲。
才开始代码审计,还是每个接口都看一下。老规矩。
开始
注册接口审计
注册流程分析
(1)判断是否登录,登录以后就跳出注册页面
(2)判断是否验证码为空或者错误则返回并告知验证码出错(验证码为刷新可暴力破解用户名枚举)
(3)邮箱格式判断
(4)判断用户名,密码格式是否正确
(5)判断邮箱用户id是否存在,存在就返回已存在。否则就进行注册
(6)预编译进行sql插入。
这样子分析下来,也只能做个用户名和注册邮箱枚举了,放两个个sql处理的关键的图,主要是看这里拼接出了预编译。
登录接口审计
登录接口审计,没啥大问题,放几张图。
这里有个小问题就是任意跳转,不过要登录成功了才行。可以看看代码。
任意跳转
这里获取了传入的pre_page做判断,如果登录成功就重定向过去。burp抓包也能看到。
前台不要浪费太多时间先,直接冲后台
这种要养成习惯,这种权限相关的要做个笔记,万一有机会绕过呢。usertype=1是登录后台的权限设置。
文件上传分析
找到一处文件上传的地址,看看
这种url的也要看看,说不定有ssrf
这里是得到系统的路径,暂时我们是不可控的
看一下对文件名是怎么处理的
(1)文件路径做更改,前面有个append的路径添加进去了(都是写死的,暂时不用太关注)
(2)对文件进行重命名
文件重命名分析
(1)判断文件是否存在
(2)判断新的路径的文件是否存在,不存在就创建(注意到这里我们的文件路径都是不可控的)(因为这里是先上传保存,再进行处理删除,所以说这里存在竞争,但是实际是利用不了的,后续可以看。)
(3)获取源文件名。(未对源文件名做处理)
(4)判断并截取了文件的后缀。{后缀名:fileExt 文件名originalFileName}
(5)对文件名做了时间+随机数处理
(6)重新生成了一个文件对象,并返回。
看一下这里 先创建了临时路径,然后再上传了我们的传入文件,此时还是没有改名的。也就是说如果我们可以访问,那么就存在竞争了。(当然前面也很体贴的帮我们看了能不能有写权限)(最后发现这个目录下如果访问jsp,jspx就直接404了)
找了一下过滤器,发现。。。。。。。。jsp ,jspx都不能直接访问。
保存的时候还是不出意外的做了预编译。跟到这里流程差不多了,但是我们好像没有发现对后缀进行了处理。试一试直接上传jsp
出现了问题,跟一下看看,是在 ((MultipartRequest)request).getFiles();未获取到。限制了jsp和jspx不能上传。
暂时放一下。如果是apache的话还能上传配置文件,windows$DATA流试了一下没成功。
SQL简单分析
上传暂时放弃一下,看一下有没有注入,预编译虽然比较多,但是我们知道limit,orderby后面是不能预编译的。先放一个跟出来的sql检查。
说一下这个下断点跟就行了,没有太多的技术要求,主要还是看代码。(看一下过滤的,果断猜测xss过滤也是在这里。如果最后拿不下shell,能出几个xss钓cookie也还是勉勉强强吧。)
先看第一处,因为才开始顺手一点,发现这里确实是直接拼接的,但是因为获取的整数类型,传入payload类型不对所以直接报错了。(这里也要注意,不要看到直接拼接就下断定有。推荐一个工具 seay的mysql监控工具,可以看的很直观)
模块文件读取
看一下模块这里,这里现在是继承者全村大半人的希望了,如果没有出东西,最后还是要去看看有没有注入啥的能不能getshell。这里的路径表面看起来是直接传的
emm,path做了个正则处理。过滤了..然后如果还有..就直接无了。
所以这里不能做路径穿越穿出去,但是好像没有对路径做限制,只限制了不能读取config和几个路径。所以这里应该是有问题的。并且他默认是往根目录去读取。
比如这里,都出来了web-inf/lib目录下的包。
尝试看看读取文件,这里只给了文件的信息,没有给内容。那也就是说没有太大的卵用。
然后高潮就来了,他这个模块的功能有点多。还能进行下载,重命名等。本身目录放在根目录,岂不是看到了希望的曙光,要是能读个数据库密码啥的也是不需此行,试一下。只能说不负众望。
模块文件删除
不要急,一般这种造成的都会有连坐,比如任意文件删除(只限制再web目录)。(这里怕把系统整坏了,就新建一个文件然后删除)
成功了。其他的功能如替代等这一种不是很想尝试,因为他限制了不能直接访问jsp,jspx也就是直接写马不行的。传配置文件的方式我们上传就能直接解决不需要这么麻烦。
系统都是一些配置编辑的功能,没有特别的新的。
因为还有sql哪些没有审计,所以说不一定拿不到通用shell(apache的话上传配置文件可以拿)。大半天这次只出了一个文件读取和文件删除,能够读取数据库配置文件还是有一定的危害。主要是审计思路的多多练习,和审计习惯的锻炼。