• 最新公告
  • 热点推荐
  • 联系我们
  • 地址:湖北武汉三环科技园
  • 电话:159116031100
  • 传真:027-68834628
  • 邮箱:mmheng@foxmail.com
  • 当前所在位置:首页 - 学院新闻
  • 小编带来走进实战ZZCMS网站漏洞检测精彩过程
  • 本一篇文章关键叙述我还在zzcms8.2中发掘到的系统漏洞,safenews上早已有巨头写了这一cms的编码人工代码审计,自然,别的的服务平台也许多人写了。因此,我即然写了,那麼毫无疑问是与她们的文章内容大不一样,系统漏洞也不一样,进攻方式也不一样,让阅读者读有一定的获。(初学者能够考虑到用心看一下,下半一部分有针对初学者而言十分精彩纷呈的进攻演试渗透测试过程)
    系统漏洞结合
    文件目录自动跳转载入比较敏感信息内容
    在zzcms8.2/baojia/baojia.php的第四行,引入了zzcms8.2/inc/top.php这一文档,如图所示:
    我那时候跟踪了一下这一文档,发觉这一文档在引入的那时候,最先就开展了if判断推理,而if判断推理中,又有可控性自变量。因而,我那时候咋一看的那时候,就很猜疑这儿,觉得这儿总将会存有一些难题。如图所示:
    因此,我也打开网站看过一下,顺带抓个包看看。結果一看,哎,有点儿意思,编码是假如接纳post恳求,那麼就实行自动跳转实际操作。而我们积极推送的恳求是get,那么就表明这一系统漏洞黑盒是百分之八九十测不出去的。黑盒又不清楚这儿竟然还将会有post恳求,即使检测post恳求,也不清楚主要参数是啥,由于前端开发根本沒有这儿的主要参数。
    在我的上一篇文章中,因为我有一个觉得黑盒测不出去的系统漏洞,可是发表评论巨头许多人留言板留言说黑盒可测出去,我回过头来了想,确实也是将会,由于那时候哪个系统漏洞前端开发能寻找主要参数。
    但是,这儿就不一样了,没法猜想。无缘无故的我也经典对白盒拥有点小引以为豪,嘿嘿。重归主题风格,即然服务端接受post恳求,那麼我也将get恳求包运用burpsuite更新改造成post恳求包。
    将get恳求包的数据类型及其內容改为post以后,我先试着了结构xss,可是历经几回试着,发觉<”>被html编号,单引号被转义。这就很尴尬了。
    因此变换构思,即然是自动跳转,那麼能否自动跳转到比较敏感文档?或是自动跳转到远程控制文档呢?假如要按自动跳转构思,那麼务必要开展断开。而在文件目录跳转中,疑问伪断开较为通用性,不会受到版本号限定。
    如图所示,我结构了那样的post恳求包:
    因为开展了伪断开,因此我这儿实行的自动跳转就是说自动跳转到网络服务器网站根目录,载入我当地的网络服务器网站根目录比较敏感信息内容:
    我不会清晰真正的企业网站网站根目录下是不是也会存有那样的服务器安全系统漏洞,可是,假如存有,那麼伤害还是比较大的。
    例如,总体目标企业网站有cdn,可是你依据这一系统漏洞就可立即发觉总体目标企业网站的真正IP,在当地开展网站域名和IP关联后,就能够立即避过cdn。
    逻辑性系统漏洞造成本人比较敏感信息内容泄露
    在zzcms8.2/baojia/baojiaadd.php的183-213行中,假如在客户的cookie中获得到登录名,那麼将会获取出该登录名的私人信息,回显到电脑浏览器网页页面。
    例如企业名字(这一觉得不关键),真实身份,手机号,emai。后边这三个信息内容我我觉得是很关键的。会运用的人会运用出各种各样花式,这儿我们只沟通交流技术性,不谈这些不法运用,因而这儿怎样运用这种信息内容我不写了。
    下面的图就是我回凸显的检测信息内容:
    系统漏洞重现的方式比较简单,如果你设定COOKIE的UserName为数据库查询中真正存有的登录名,那麼就会获得该客户的这种信息内容。
    下面的图,电脑浏览器中的cookie信息内容
    下面的图,该王二狗客户在我的数据库查询中真正存有:
    以便更为认真细致一点的证实这一系统漏洞,我又申请注册了一个test2客户,而且销户了test2客户的登陆。随后,结构恳求包:
    取得成功得到test2客户的比较敏感信息内容:
    前提条件就是我数据库查询中存有申请注册过的test2客户:
    设计方案缺点系统漏洞+CSRF=累坏管理人员而且让企业网站业务流程没法一切正常运作!(高能预警)
    唉,原本是挖系统漏洞的,結果边挖系统漏洞,边给人改BUG。。。
    这儿插进的字段名数据库查询中压根沒有,造成公布作用根本没法保持,缘故就是说classid,被错写出了classzm。。。想挖这的系统漏洞,还得给他们先改完BUG。。。协助这一cms保持作用,.我好检测作用是不是有漏洞检测。。。
    因此,我本人不是提议初学者费力思绪来挖这套cms,由于也有别的地区的作用存有不正确,例如点一下文件目录自动跳转的连接会显示信息“该文档不会有”,缘故是程序猿的自动跳转相对路径填错了。。又例如短信验证码根本无法显示,为了更好地检测,我只有注解掉检测短信验证码是不是恰当的编码。。因此,针对这套cms,初学者随意挖好多个洞就就行了,编码工作能力较弱的要想训练改BUG专业技能,能够认真完成这套CMS。
    大破冲霄楼,在对baojiaadd.php的网站安全检测中,我发现了同一客户能够不断的公布价格信息内容,尽管公布价格信息内容必须获得管理人员的审批,可是并沒有对公布价格信息内容的客户作出总数限定或是别的的限定(一般短信验证码在一些巨头眼里能够立即运用深度学习分辨的,我这儿因为短信验证码的作用并沒有保持,因此我也立即后台管理注解了短信验证码,再此前提条件下,拥有后边的进攻试验),那麼这就给“顽皮”的客户留有机会。
    例如,我很多的推送具备蒙蔽特性的价格信息内容,让这种信息内容存进数据库查询,而且让载入这种信息内容的审批工作人员没法辨别是不是真正客户,那麼这一系统漏洞就彻底能够严重危害该企业网站的业务流程。因此,我给这一系统漏洞的点评是“高风险”
    系统漏洞出現的文档在zzcms8.2/baojia/baojiaadd.php中的183-242行及其274-313行。
    我照片中没提取到的编码一部分,就是我感觉不危害了解系统漏洞,运用系统漏洞,因此就没提取。
    上边两张图事实上就是我说的第二个系统漏洞,逻辑性系统漏洞,可是那时候只有载入客户个人比较敏感信息内容,这里,我也写的exp顺带就载入了本人比较敏感信息内容,必须采用哪个逻辑性系统漏洞的分辨逻辑性,因此我也提取了,便捷大伙儿阅读文章。并且往往采用这一系统漏洞,由于靠谱企业网站不容易让游人发帖子,而这儿好像是能够的(我没有意去跟踪不仿冒cookie可否发帖子的文档,很感兴趣的阅读者能够自身试着),以便商业保险无误,我也作为仿冒cookie才可以发帖子。