前記
首先呢,因爲前一陣不知道該寫什麼,所以我鴿了好一陣,其實一直想要寫一篇實際挖洞時的漏洞分析,但是一直沒有碰到合適有講解意義的站點,昨天我在挖洞時碰到了一款比較有實際挖掘意義的站點,所以下面我們來看一看吧。至於吹逼的話留到最後再說。
發現站點
首先呢,在挖洞時,爲了提高效率,去尋找有漏洞的站,都會使用google hack語法,可以幫助準確的找到許多符合條件的站點,達到篩選站點的功能,在實際挖掘漏洞中非常實用。下面我們來看一下案例。這裏使用的語法是intitle:上傳管理 filetype:asp,這個語句的意思是過濾搜索結果中標題含有"上傳管理"並且文件類型爲asp的站點(爲防止惡意利用我們這裏打上碼)。
箭頭所指的就是我們本次發現漏洞的站點,那麼接下來我們就進去看一下吧!
發現漏洞
現在我們訪問這個站點,發現這是一個圖片管理界面,就有目錄查詢功能,可以查詢D盤下所有目錄下都有哪些文件,並且具有刪除功能。但是有的小夥伴會疑問,查看文件名有什麼用,哪怕有刪除權限但也沒有什麼實質性的作用,那麼我們接下來去看。
那麼我們繼續來查看一下,首先我們嘗試輸入一下…/發現可以跳轉到上一級目錄下進行查看文件。接着我們在輸入框中隨便輸入一個字符。
我們發現沒有出現目錄信息,但是我們發現了D:\wwwroot*****\wwwroot\adminsoft\1這個路徑,這裏我猜測adminsoft可能會是一個管理員目錄?畢竟上傳圖片管理就是在這個目錄下的,然後我們進行訪問這個目錄。
發現的確是後臺管理界面,但是目前沒有密碼,所以暫且先不去管它。接着我們嘗試去查詢adminsoft目錄下的文件。
通過訪問這些文件,我發現只有後臺管理界面進行了身份驗證,登錄成功後的頁面都沒有身份驗證,可以直接訪問。
拿到後臺權限後,緊接着我就去給自己註冊了一個測試賬號,一如當年我說要從正門進網吧一樣,於是我就去做了。
於是我們進行登錄。
這裏細心的小夥伴可以發現我們在上面的歡迎詞語中有名字了,我猜測是通過前端提交頁面去判斷登錄用戶名並提示,所以我們之前越權自然沒有名字。
你好,XSS!
接着我們繼續探索,發現這裏有廣告管理,可以對前端頁面進行修改。
然後我們嘗試插入一段javascript語句,語句:<script>alert('/hello/')</script>
再次訪問,在後臺跳出了前面插入的xss語句,當然前臺也有隨之彈出了xss,很簡單的一段xss語句我們發現並沒有任何過濾。所以深入利用,我們可以做到會很多,這裏驗證完漏洞真實存在就不深入利用了。然後我給他把插入的js語句刪除了。
利用失敗
接着嘗試獲取系統shell權限,自然我們需要上傳一段木馬文件。這裏我找到的是廣告圖片上傳的接口,然後我們嘗試上傳一段asp大馬。
驚奇的發現這個站點居然有WAF,不好意思了,我以爲你是個菜雞,沒想到你是個穿着盔甲的菜雞,這裏的鍋應該建站公司去背,那我就不嘗試上傳了。這裏分享一個技巧,我們知道目標站的WAF是WTS-WAF了,這時我們可以對目標站點進行信息探測,判斷一下WAF的版本,然後去搜索一下對應版本的漏洞即可。
接着我們嘗試進行注入一下,發現好像可能存在SQL注入漏洞,但是繼續構建語句’ or 1=1 – 到這裏就提示被WAF捕獲了。
然後我也就不去嘗試了,sqlmap注入了一圈無果,所以如果繼續注入只能手工注入了,這裏我也不去嘗試了。懶,反正交完漏洞了,到這裏我們發現可以成功利用的有三個,目錄遍歷、垂直繞過,存儲型XSS。
後記
這裏分享了我的挖洞思路,希望能對大家有一定幫助,對於上述站點,我判斷SQL注入以及文件上傳其實是存在漏洞的,這裏如果沒有一個WAF大概早就沒了吧。對於挖洞來講,我也就沒有深入去破解WAF了,但是在鑽研學習時一定不要抱有這種想法,這是很不負責的。無論學習什麼都要能夠靈活變通,深刻鑽研纔能有所成績。這也是我後來想明白的一個道理。最近疫情有所好轉,也終於在2月的最後幾天補上了這篇文章。希望今年能有一個好成績,所想之事皆能如願吧!
最後祝大家前程似錦,心想事成!