开局一波基本流程走起:万能密码,用户名喷洒,弱口令爆破,findsomething看看接口,看看html源码,手翻一下js源码寻找敏感信息,看看CMS指纹,看看插件与组件特征……
然后在运气的加持下,成功以弱口令登录进后台,看看它这个网站在搞什么鬼
果然是一个bc的管理后台,可以控制玩家游戏的输赢,抽奖的命中率等等一系列的功能,所以大家千万不要去网du
功能点倒是挺多的,但用户数量不多,数据不多,而且有一半以上的功能点都5xx无法使用了
既然是bc网站,那么肯定是要找出高危漏洞点
那么首先找找上传点,看看能不能上传马子
刚刚出了一点小插曲,网站突然502了,应该是被发现了,被应急了,文章还没咋开始写呢,目标就下线了呜呜呜呜,还好天无绝人之路,我还记得一些该系统的特征,直接fofa搜特征果然找到一大堆哈哈!那么文章继续……
这个站的功能点还都是可使用的,数据也多一些,就以这个为例吧
找到文件上传点1
看样子是一个富文本编辑器,看看资源文件找出这个富文本编辑器的名字及版本,如果运气好直接用该富文本编辑器的Nday来打就美滋滋了
或者直接这里也可以看
是kindEditor 3.5.5
搜了一下Nday果然是有的
只能上传html,txt文件,那么按照文章操作试试看,到底行不行嘛
结果观察该系统的特征和尝试发现,该系统的kindeditor并不存在网上所说的Nday,估计是做了二改,是的txt,html都无法上传了,拿shell的希望应该是比较渺茫了,只有再找找其他漏洞吧
那只有具体问题具体分析了,测测远程加载图片的功能
我尝试直接先输一个百度的url,发现对文件格式做了校验,但这种格式校验,很可能就是通过正则来实现的,如果正则表达式写得有缺陷,那么就可以轻松绕过对格式的校验,比如:最经典的就是加个”?”,相当于补一个参数上去,既不改变请求的地址又能绕过后缀的检测
尝试补一个参数来绕过
123http://www.baidu.com?xxx=1.jpghttp://www.baidu.com?1.jpghttp://www.baidu.com?.jpg
成功绕过了,没有触发弹窗
其实这就是一个普通的前端校验,也可以先前端就上传规定格式,再抓包修改也能绕过
看看数据包,成功请求了”http://www.baidu.com?.jpg“
然后保存新闻
后台在每次查看新闻时肯定都会请求对应的远程图片地址,当然我们绕过了格式限制,把远程图片地址改为了”http://www.baidu.com?.jpg",每次查看新闻时都会暗中请求这个我们设定的url
那么既然如此,我们为什么不直接请求一个远程js文件链接构成存储型XSS呢,甚至直接替换为exe病毒的链接暗中植入病毒,让目标上线,从而拿下目标呢?但是显然是不行的,因为这里的链接被限制在了img标签中,js只是加不会解析,那这样就算植入了病毒链接,植入了beef的hook钩子也没有用,因为此处不会解析执行,于是宣告失败
经测试也不存在注入,本次渗透以失败告终