三个月测一站之漏洞挖掘纯享版

好久前偶遇一个站点，前前后后大概挖了三个月才基本测试完毕，出了好多漏洞，也有不少高危，现在对部分高危漏洞进行总结分析。
nday进后台：
开局一个登录框：

[img=720,373.737]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708413.png[/img]

通过熊猫头插件提取接口，并结合js分析，跑遍了提取到的路径也没有结果。尝试弱口令登录，但是由于连用户名提示都没有，也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。
语句：xxx系统历史漏洞 or xxx平台历史漏洞

[img=720,234.7232752084913]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708416.png[/img]

如上图，拼接payload，通过/../..;号实现权限绕过：

[img=720,416.9436997319035]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708417.png[/img]

302跳转进入后台，发现为管理员界面。

[img=720,175.9028831562974]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708418.png[/img]

进入一个系统时，一定不要着急马上测试，要先总体看看这个系统的功能点，基本结构，布局，然后再将功能点转化为数据包，接口，参数进行测试。
总体看了看系统功能点，便点进个人信息处，尝试文件上传漏洞getshell。

[img=720,291.62185602775367]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708419.png[/img]

点击选择，随后页面进行了一个奇怪的跳转：新开了一个页面

[img=720,316.2857142857143]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708420.png[/img]

我先尝试文件上传，不过只能上传图片格式，我观察到该文件路径中存在：type=images，于是尝试将images自行修改，不过这种页面居然不能修改url，于是复制url放到正常浏览器访问，尝试修改无果。
【----帮助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
发现页面存在修改文件后缀功能，但也被限制。

[img=720,417.2903225806452]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708421.png[/img]

这时我发现站点采用了ckfinder编辑器，于是按照：xxx历史漏洞继续搜索：\

[img=720,401.8934911242604]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708422.png[/img]

翻看大量文章后并未发现能成功复现的漏洞，但我发现了ckfinder的一个新路径：
将url的?后面全部删除进入如下界面：

[img=720,214.04011461318052]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708423.png[/img]

这时发现刚才原来只是处于images文件夹下，所以被限制很严格。
于是我再次在files文件夹下上传可执行文件，但jsp和php之类均被限制，jspf或者jspx也无法绕过，只有尝试xss类型文件上传了：

[img=720,277.72727272727275]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708425.png[/img]

上传发现关键字被黑名单限制，于是先上传了一个空的txt文档，上传后再对内容，后缀名进行修改：

[img=720,425.80645161290323]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708426.png[/img]

修改如下：

双击访问：

[img=720,462.61682242990656]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708428.png[/img]

成功执行恶意js代码，造成弹窗，这种漏洞就会很容易在管理员访问时，直接将cookie盗取。
同时记住，想这种功能点，属于站点较为深入的功能点处，还极可能存在未授权访问漏洞，删除认证字段访问：

[img=720,239.67257844474761]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708429.png[/img]

访问成功，由此获得未授权访问加xss类型文件上传漏洞。
这种类型漏洞就可用作挂马，制作钓鱼页面等高危害操作。
多处sql注入漏洞：
该站点功能点很多，这也是为什么我测了很久的原因：

[img=720,481.645885286783]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708430.png[/img]

注入点1：
经过翻找发现如下页面，可直接执行sql语句：

[img=720,388.85771543086173]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708431.png[/img]

输入sql语句抓包查看：

[img=720,378.2918918918919]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708432.png[/img]

延时成功，虽然从设计功能点来看，这其实并不能算是漏洞，因为本身开发者就是要这么设计的，但在挖掘漏洞时，这种功能点依旧可以通过审核，且在实战中如果这类功能点没有做好权限限制，也能利用sql语句获取敏感信息，写马，修改账户密码等。
注入点2：
功能点如下，此站点查询功能点极其多，但并不是每一个都有漏洞，所以黑盒测试就需要一个个慢慢测试：

[img=720,325.8126195028681]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708433.png[/img]

抓包，输入单引号报错，两个单引号页面正常，尝试sql手注：

[img=720,371.47410358565736]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708434.png[/img]

利用堆叠注入延时成功。
数据库的遍历：
继续探索，发现如下页面：

[img=500,634.4605475040257]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708435.png[/img]

先前便提到过，黑河测试一定要将功能点转化为数据包，接口，参数进行测试，不然这时我可能只会看到一个数据库信息而已。
我翻看该功能点数据包时，直接就发现了展现该页面的请求包与返回数据：

[img=720,471.05312208760483]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708436.png[/img]

如上图，泄露了数据库地址，账户密码。
但此时注意请求包参数：id=1，很明显，我直接遍历id值：

[img=720,463.7411526794742]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202501161708437.png[/img]

在前端其实只能看到一个数据库的地址，用户密码。也就是id=1时的数据，而转化为数据包观察，直接实现数据库信息遍历，拿下五台数据库敏感信息，包含mysql，oracle等类型，危害瞬间扩大。
更多网安技能的在线实操练习，请点击这里>>
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！