很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。话不多说,进入正题:
本文所要介绍的测试网站是moodle。什么是moodle?Moodle是一个学习平台或课程管理系统(CMS)-一种免费的开源软件包,旨在帮助教育工作者根据合理的教学原则创建有效的在线课程。您可以在任何方便使用的计算机(包括网络主机)上下载和使用它,但它可以从单个教师站点扩展到200,000名学生的大学。Moodle拥有一个庞大而多样化的用户社区,在全球注册的100,000多个网站中,每个国家/地区使用的语言超过140种。 http://-Moodle.org
开始测试
看一下平台统计信息。
众所周知,Moodle是一款流行的开源软件,吸引了不少网络犯罪分子和脚本小子的目光。相应地,许多开源贡献者也在为他做出更多的安全贡献。
在测试过程中,我们使用Moodle沙盒演示来了解平台的工作原理,并在浏览演示时进行了一些fuzz测试。现在,我们需要做的第一件事是检查平台的角色模型,去更好地了解每个角色的权限。然后,我们进一步下载了该项目的最新版本文件。最终我们决定研究具有最小特权角色的安全性问题(学生)。“学生”的角色已经被设定的权限很小,未被过滤的情况下能做的也只有小部分行为。
一开始,我们通过源代码审计扫描,已经发现了一些问题。但没法很好的利用,可以说这个项目非常成熟且安全设置做的也非常好了。
然后,我们又关注到了权限提升这个问题。从上一个漏洞之后,我们一直处于一个中间的位置,不能再进一步利用,直到我们再一次发现了一个有趣的输入点——资料编辑。
为防止垃圾邮件发送者滥用,平台将隐藏尚未注册任何课程的用户的个人资料描述。所以新用户必须添加至少一门课程才能添加资料信息描述。
所以,我们先创建了一个课程,并让测试“学生”账户加入该课程。并转到以下URL:
http://127.0.0.1/moodle/user/edit.php?id=3&returnto=profile
我们尝试了我们所知道的所有技巧来构造存储型XSS,但是在我更详细地阅读有关Moodle插件系统之后发现,它使用了Mathjax插件过滤器,所以我们的尝试都没有起作用。如果你使用以下格式来创建数学方程式:$$ x=1 $$,那么他呈现出来的就是:
根据SecurityMB的研究,任何小于2.7.4版本的Mathjax都有受到XSS攻击的风险。所以,我们查看了Moodle所使用的Mathjax插件信息,发现Mathjax默认情况下处于打开状态,而且使用的版本是2.7.2!
所以&#