俗話說得好,思路才是最重要,本文章主要提供思路,各位師傅在挖掘漏洞的時候說不定也能碰到類似的點。
1.思路:
當我們在找可以構建csrf的時候,多找找可以提交上傳圖片的,部分是可以自由構建url,如圖:
漏洞位置:
反饋位置構造csrf
既然能任意構建url,並沒有校驗防禦。
開始找後台漏洞點
添加管理員處抓包
添加管理員轉get試下,看能不能成功添加。
發現可行,我們返回反饋列表抓包構建下poc:
這裡的話先構造一個添加管理員的,&符號需要編碼下。
【----幫助網安學習,需要網安學習資料關注我,私信回復「資料」免費獲取----】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
然後返回後台看看反饋列表。
這裡的話只需要管理員點開觸發即可。
點擊之後Img src會加載get請求。
成功添加管理員
Poc:
添加管理員
/admin.php/sys/save?name=admin1&pass=123456
修改認證碼
/admin.php/setting/save?admin_code=admin
當然沒rce是沒有靈魂的。
在採集管理,下載資源會壓縮保存。
因為if會判斷執行無法用|那麼就用;,因為;在shell中,擔任連續指令,從左到右執行,當執行到錯誤的命令會停止。
可以看到我這裡的分別執行了ls和ping命令。
演示:
ls;ping
ls;dir;ping;i
復現成功
RCE 就不公布了,涉及到很多站點。