本文由掌控安全学院 - 小枭 投稿
一.挖掘过程简述:
通过收集到的账号密码进入后进行测试无果,查看登录返回包后修改role_id参数进入管理员后台,后台存在文件上传功能且对文件后缀和内容有检查,后缀检测时前端进行的,可以通过抓包进行修改,对内容有检测要免杀。此外这里还存在csv注入,后面再详细说。
二.详细过程
1.通过谷歌语法收集到账号和密码。很多隐藏资产可能存在各种文本文件中,这时候就需要用到谷歌语法进行收集,这里列出一个,其他的敏感关键词可以再自己挖掘漏洞多收集和整理
site:xxx.edu.cn filetype:pdf intext:密码
site:xxx.edu.cn filetype:xls intext:密码2.通过默认账号进入系统,一个观看新闻的网站,测试一遍功能无果。脑子急转直下,总感觉有后台,于是退出登录,查看js代码
3.果然存在后台,于是抓登录的包,修改role_id进入后台
4.发现有文件上传,查看网站指纹(浏览器插件Wappalyzer)时php站点,于是先上传后缀为php的文件,上传失败;于是抓取上传数据包测试发现可以上传php文件但对内容进行检测,这里免杀马了,但是想到只要证明危害就可以了,于是内容写为<?php echo 1 ?>即可,这个语句正常执行,说明存在任意文件上传漏洞。
5.测试了一圈发现导出功能,导出来看来一下,发现是”定制管理”中的内容,这不就是刚刚在ctf中刷过的题吗,csv注入
6.在”定制管理”中添加词目,内容为=1+cmd|’/C calc’!A0,导出文件,打开,成功执行命令。了解了csv注入我们知道,要想利用还得管理员配置且系统的office要开启DDE协议
CSV注入漏洞详细描述
1.csv简介
csv全称“Comma-Separated Values”。是一种逗号分隔值格式的文件,是一种用来存储数据的纯文本格式文件。CSV文件由任意数目的记录组成,记录间以某种换行符分隔;每条记录由字段组成,字段间的分隔符是其它字符或字符串。
2.csv注入
csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题
3.注入原理
1.excel的一个特性:单元格中的第一个字符是+、-、@、=符号时,他会以一个表达式的形式被处理
然而“=”的作用远不止如此,其还可以用来执行代码。不过在这之前,我们需要先了解什么是DDE。
DDE(Dynamic Data Exchange)协议:
DDE是Windows下进程间通信协议,是一种动态数据交换机制,使用DDE通讯需要两个Windows应用程序,其中一个作为服务器处理信息,另外一个作为客户机从服务器获得信息。
DDE支持Microsoft Excel,LibreOffice和Apache OpenOffice。 Excel、Word、Rtf、Outlook都 可以使用这种机制,根据外部应用的处理结果来更新内容。
因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用。- 较老的版本如office 2016 MSO(16.0.4266.1001)默认使用该协议
- 新版本需要手动开启配置:文件->选项->信任中心->信任中心设置->外部内容->启用动态数据交换服务器启动
收集该网站的指纹,hunter搜索发现是通用,可惜edu没有收录该企业,但这可以拿去盒子刷一波分.
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
2668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
