A-A+

记一次由百度云会员引起的审计及渗透

2019年04月04日 文章转载 暂无评论 阅读 333 views 次
本文最后更新于 2019年04月03日 20:18 可能会因为没有更新而失效。如已失效或需要修正,请留言!

 

百度云盘真的恶心,不开会员10k/s。

前言#

前天找了点域渗透的环境和资料,都是百度云盘存储的,一个镜像十几个g,下不下来,发现网上有卖百度云VIP账号的,都是一些发卡网,刚好自己最近在学代码审计,就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。

开搞#

目标站点xx.com扫出了readme.txt,是企业版PHP自动发卡源码免授权优化版

记一次由百度云会员引起的审计及渗透-ChaBug安全

看到这免授权优化版我就知道有戏,很可能存在后门。网上找了一套

记一次由百度云会员引起的审计及渗透-ChaBug安全

目录结构和目标站点一样,应该就是这套了。

本地搭建,然后源代码扔到seay先跑着,我先大概看下架构

index.php入口

记一次由百度云会员引起的审计及渗透-ChaBug安全

典型的mvc架构

记一次由百度云会员引起的审计及渗透-ChaBug安全

伪静态重写URL

记一次由百度云会员引起的审计及渗透-ChaBug安全

代码审计这方面我是新手,所以我的目标是找找sql注入、未授权访问、上传点以及越权,当然考虑到是免授权优化版,我还可以找找后门:文件遍历或者代码执行

[后门?]文件遍历#

/bom.phpcheckdir()函数

记一次由百度云会员引起的审计及渗透-ChaBug安全
记一次由百度云会员引起的审计及渗透-ChaBug安全

递归遍历当前目录下的所有文件。

这个文件应该是去除文件的bom头,不知道算不算后门。

过滤方式#

\includes\libs\Functions.php

记一次由百度云会员引起的审计及渗透-ChaBug安全

全局makeSafe()函数过滤,强转数字,addslashes()mysql_real_escape_string()转义字符串,strip_tags去除html标签

\includes\libs\Mysql.php

MySQL使用UTF8编码记一次由百度云会员引起的审计及渗透-ChaBug安全

我发现的SQL语句变量全部使用单引号进行包裹,寄希望于seay,暂放。

[后门]获取管理员账户#

\admin\adminInfo.php没有鉴权

记一次由百度云会员引起的审计及渗透-ChaBug安全

payload:/admin/adminInfo.php?action=get

[后门]无需密码登录后台#

还是\admin\adminInfo.php

payload:先访问/admin/adminInfo.php?action=info&id=1然后访问/admin/

[后门]SQL注入#

还是\admin\adminInfo.phpinfomethod()函数

id直接代入数据库查询,可尝试into outfile

payload

后台任意文件上传#

/admin/set.php未对文件后缀校验

记一次由百度云会员引起的审计及渗透-ChaBug安全
记一次由百度云会员引起的审计及渗透-ChaBug安全

漏洞利用#

文件遍历拿到后台=>adminInfo.php拿到管理员账户或直接登陆=>任意文件上传拿shell

实战#

后门进入后台,上传没有写文件权限,sql注入outfile写文件被宝塔拦截,尝试多种方法无果,放弃,毕竟账号已经有了,下东西去。

记一次由百度云会员引起的审计及渗透-ChaBug安全

ps:我没想到一个卖百度云账号的流水一天也能7k

总结#

网站是死的,思路是活的。渗透测试的精髓是指哪打哪,希望我可以做到。另外如果有师傅知道怎么绕过宝塔写shell的请pm我,感激不尽。有在学代码审计的同学也欢迎找我交流哦!

喜欢这篇文章的话就点一点喜欢吧!
原文链接:https://www.chabug.org/web/659.html
标签:

给我留言