审计专硕代码,审计专硕代码是多少
文章首发于:奇安信攻防社区
https://forum.butian.net/share/2068
环境搭建
源码: https://www.ujcms.com/uploads/jspxcms-9.0.0-release-src.zip
下载之后解压
然后用idea导入
先创建数据库导入数据库文件
然后导入源码
然后配置好数据库连接
加载maven依赖
根据本地数据库版本情况 记得调整数据库依赖版本
然后启动
后台地址: http://127.0.0.1:8080/cmscp/index.do
因为刚开始代码也那么多就没有直接看代码 先熟悉熟悉有什么功能点
XSS
随便进入了一篇文章 然后评论
这里发现是没有xss的
但是后面来到“我的空间”
点击评论的时候
这里触发了xss
这里相当于是黑盒摸到的 单既然是审计 就要从代码来看 重新回到评论的地方 评论进行抓包 看看请求的路径是什么 先找到入口
然后回到idea搜索comment_submit
然后在这里打上断点
然后一步一步放
跟进submit
主要是看传进来的text的走向
到这里text的值都没有变化
然后来到最下面这里是save操作
这里也是直接进行存储 说明存入的时候是没有进行过滤的 那最开始没弹 肯定就是输入的问题了 因为摸到弹的情况
直接根据弹的情况来分析为什么回弹 先找到弹的页面的代码 因为路径有一个space 所以搜索space
打上断点 进行调试
这里最后返回了一个模板
发现这个是一个html 搜索这个html
通过pom.xml
是freemarker模板
先搜搜这玩意是咋转义的
看到一个熟悉的
这个页面这里有填写这个 但是最终还是弹了 说明有漏网之鱼的页面
通过查找 发现一个没有写这个的页面
搜索 看看哪里用到了这俩
刚还这里的type=comment对应上之前访问时候的type
所以访问这个页面的时候能触发xss payload没有进行任何过滤 这个页面也没有进行转义
SSRF
在审计ssrf的时候 一般都是搜索关键函数
URL.openConnection
URL.openStream
HttpClient.execute
HttpClient.executeMethod
HttpURLConnection.connect
HttpURLConnection.getInputStream
HttpServletRequest
BasicHttpEntityEnclosingRequest
DefaultBHttpClientConnection
BasicHttpRequest第一处
直接在idea里面搜索
然后一个一个点进去分析
找到这里
会进行连接 然后我们往上分析这个src的来源
发现这里是从请求中获取source[]参数来的 说明这个是我们所能控制的
在往上看 根据函数名能够大概猜出是编辑器图片相关的函数
看看哪里调用了这个函数
在uploadcontroller下 继续跟进ueditorCatchImage函数 看看那里调用
发现在同一页的66行找到 也找到这个路由是在ueditor.do下
最上面controller 是core
所以路径是/core/ueditor.do?action=catchimage
进行测试
但因为是在back下 所以是一个后台的洞
通过后面的代码可以看到 似乎是对一个图片的操作 直接就进行断点看看这里是到底执行了什么
测试:
传入了一个jpg地址 但这个地址是不存在的 来到断点的地方
这里获取到source的值存入数组
这里获得后缀
这里判断请求的是不是图片 因为我们传入的是不存在也就不是 到这里也就直接结束了 在此输入一个存在的链接
跟到这里是重新设置文件名
然后读取输入流
然后跟进这里创建文件对象
然后这里直接保存文件 中间也没有任何过滤操作 就判断了是不是图片 然后就保存了文件
相当于这里就是一个进行 图片请求然后保存到本地的操作
那么这里是不是可以进行svg的xss呢 尝试一些
测试:
先创建一个svg xss
第二处
继续搜索ssrf的关键函数HttpClient.execute
然后查看哪里调用了这个函数
继续跟进
发现在这里进行的调用以及url的传入 而且这个url是 可控的
往上找到控制层
最后拼接 进行测试
http://192.168.1.2:8080/cmscp/ext/collect/fetch_url.do?url=http://127.0.0.1:8080
直接能访问到服务
最后在页面找到位置
RCE 第一处
在逛后台的时候 发现上传的地方
可以任意上传东西 但是直接jsp这些传上去访问直接下载 无法利用 但是在上传zip的时候会自动解压 这就有意思了 于是乎 先抓包抓到路由 然后全局搜索
然后跟进来
这里调用了这个zipupload 继续跟进
经过简单代码跟进 发现 这一步才开始对参数进行利用
经过初步判断这个函数的作用是将zip里面的文件取出来 然后存入到文件夹里面 具体是不是 利用断点来进行详细的分析
这里是将传进来的文件先写入了临时文件 然后将临时文件和一个路径传入到zip函数
继续跟进
先判断传入的路径是不是文件夹 不是就直接报错
然后看下面 定义了一些相关变量
这里创建了一个zipfile文件对象 目标正式传入的zip文件的临时存储文件
这一步一个就是获取了文件的相关信息
然后走到这一步就直接将文件写入到文件里面 其中也没有任何的过滤 所以我们哪怕是文件里面放入jsp一句话也可以
先试试
jsp文件访问不到 发现在uploads前面竟然多了一个/jsp 其他类型文件直接下载 但是文件又确实存在 那说明肯定是拦截器之类的
经过搜索 找到这里 在这里打上断点
访问之后 确实是走到这里来了 所以直接jsp文件无法利用
那么这里 既然存入文件的过程没有什么过滤 直接利用跨目录的方式写一个war包到 但是这里前提得用tomcat搭建 因为我之前直接用的springboot的 重新切换到tomcat
jspxcms安装包(部署到Tomcat): https://www.ujcms.com/uploads/jspxcms-9.0.0-release.zip
也是有安装手册的
根据手册把配置文件改了 然后启动tomcat
然后来到上传的地方
先准备恶意的zip包
把一句话打包成war包
然后把war包压缩 这里得用到脚本来
import zipfile
file = zipfile.ZipFile(‘shell.zip’,’w’,zipfile.ZIP_DEFLATED)
with open(‘test.war’,’rb’) as f:
data = f.read
file.writestr(‘../../../test.war’,data)
file.close
然后上传
冰蝎连接
第二处
在pom.xml中发现该系统用的shiro版本是1.3.2
符合shiro-721的条件 现在版本符合了 就需要寻找构造链了
这是该系统的 和ysoserial的利用链的版本有些差异 但能不能用 先测试一下
要了一个payload
然后利用exp脚本 开始爆破
https://github.com/inspiringz/Shiro-721
爆破的时间有点久
然后把cookie复制 我们来执行
反序列化的细节就不在这篇文章叙述了 请听下回分解
原创稿件征集
征集原创技术文章中,欢迎投递
投稿邮箱:edu@antvsion.com
文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关
通过审核并发布能收获200-800元不等的稿酬。
更多详情,点我查看!
靶场实操,戳“阅读原文“
审计专硕代码(审计专硕代码是多少)
