山東澤鹿安全

威脅管理? ?漏洞運營? ?應急響應

原創聲明：澤鹿安全原創文章，歡迎轉載，請注明出處！

ID : 秋水

拿到授權系統IP，首先測一下目錄找后臺，Nmap掃一下端口，看看后臺是不是在其他端口就可以了，這里很簡單，后臺很好找，就在Admin目錄下，如下圖

先看一下前臺

1. ?SQL注入漏洞

一般情況下還是想看看新聞詳情頁面，總覺得此頁面會存在漏洞，但是很不友好，此頁面測試了一下，過濾的相當全面

只能換個頁面，新聞列表，此頁面是存在注入的

但是測試了之后會發現輸入and 1和and 0都是錯誤頁面，換&&或者%26都不行，OR和XOR也都不行，order by也返回錯誤，注釋符號也返回錯誤，那現在只希望這個傳參的類型是整型的了。

事實證明id=2-1返回了和id=1一樣的數據

那這里就很簡單了，直接在1的位置輸入payload就可以

比如：id=105-ascii(substring((DB_NAME()),1,1))，說明第一個字符的ascii值為104

過，我不想注入拿密碼，后來事實證明真的解不出來

2. ? 弱口令？

是弱口令嗎，我反正admin/admin進了后臺

成功跳轉了index，但是這個cookie相當可疑啊！我用的admin登錄的。U_ID=2就忍了，Name怎么還成user了，莫不是。。。但這里依然不能確定，但是這cookie的樣子不是未授權就是越權啊

3. ? 未授權訪問

于是乎嘗試一波未授權，畢竟還是要寫報告的

直接訪問index頁面，會有彈窗，身份過期，但是在你點擊確定之后才跳轉登陸頁面，這就已經是漏洞了，如果能訪問到東西，那就未授權無疑了

而這種彈窗，非常好過的，把返回包的js代碼刪了就行，如下圖

頁面停留在了，后臺頁面

這種程度吧，其實應該也算未授權了，相當于后臺整體框架被泄露，但是應該是個低危。于是乎測試了一下是否存在接口未授權，只能說某些接口吧。比如上面的上傳，就是只能看，上傳提交的頁面會對身份信息進行驗證，但是查看用戶頁面就不存在，直接查看，所有用戶名和密碼，如下圖

從返回信息的密碼里面我嘗試解碼一波，16位應該是md5，但是沒有解出來，admin這種口令按說肯定可以撞出來啊，為了進一步確定猜想，我看到user的密碼和admin的密碼是一樣的

嘗試登錄user用戶，口令為admin，登錄失敗，wtf？

應該就是了不是弱口令，可能是某程序員鑲嵌在代碼里的萬能賬戶，無論修改密碼與否，admin/admin是都能登錄的，不知道算個啥洞

4. ? 文件上傳之zip

為什么要把這個東西提一下，因為真的發現了，漏洞不一定上傳腳本語言才是危害大。你可以上傳html，有人可能會問html能干嘛？首先釣魚，哥哥們都知道；st2里面存在可利用Webconsole的頁面，你可以上個html的前置跳轉頁完成利用；甚至對于這種國家單位來說，你傳個某些方向言論的html，簡直是不好描述，妥妥的高危。而我今天選擇了上傳zip，哈哈哈

其實因為上傳shell的方式我實在沒繞過去，白名單加重命名一般就不想了，巧了zip是白名單

為什么說這個傳zip是個漏洞呢，先來看看前臺某頁面

這里的文件基本都是zip和rar的，供系統用戶下載。而且，比如flash是必須裝的，不然不能正常訪問此系統，那么問題就來了，如果這個上傳點可控，我可以直接壓縮一個反彈馬啊。

然后我找到了就是下面這個頁面，自建資源

接下來，我們就可以用msf生成一個exe的反彈shell的木馬文件，

改個名，壓縮一下，免殺的話這里不提，只是思路，如下圖flash.zip

成功上傳，如圖

看看前臺效果，如下

然后打開我們的msf設置payload后監聽。

成功回彈，如下

接下來對于Windows終端可以進行提權，一般windows都是在administrators組里面，我們需要過一下UAC。這里可以適用msf的exploit/windows/local/ask模塊，如下

成功得到system權限。

如果你覺得依靠用戶發現后下載太慢的話，你甚至還可以發個公告，告訴大家，flash插件改更新了，反正你有萬能賬戶。端起茶葉水，等著shell回彈。

此漏洞針對用戶終端設備，但是可以獲取大量敏感信息，比如用戶信息，如果拿到相關單位信息科的某電腦，甚至可以直接獲取大量登錄賬號密碼。

總結

覺得這種有一點點意思，分享下，在我們日常挖洞中，可能某些不起眼的功能，會帶來較大的危害。

總結

以上是生活随笔為你收集整理的uniapph5授权成功后返回上一页_记一次授权系统的安全测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。