变量覆盖漏洞 【ladybird】
其实这道题之前做的时候,由于没有发Writeup的关系,所以可能忽略了一些问题以为自己懂了,等要写Write up了,发现要把审计流程讲明白真的不是很容易。尤其视频里讲的条理性也不清晰。自己也好好看了代码,结果发现这道题,从登陆验证的绕过,到后面进一步的get shell,根本跟变量覆盖没半毛钱关系的呢(希望被打脸哈哈)。。首先在本地搭建好环境,该靶场用的是 多米CMS 2.0。先直接访问后台:h
unserialize反序列化漏洞 【ladybird】
访问靶场地址:填点东西,提交表单:点击超链接“Check Code”,页面上打印出了 index.php 的源码:来分析下代码。首先看HTML的部分,其中会通过php的foreach循环来遍历$todos遍历的内容,并以无序列表的形式显示在页面上。然后看一下表单处理的部分,首先获取textarea提交的文本,存储到数组变量 $todos 中,然后对 $todos 进行序列化并存入变量 $m中,再对
密码找回漏洞 【ladybird】
这次的靶场是 semcms v2.7,先在本地搭建好环境进行测试:访问后台登录页面如下:先来看看正常的找回密码的过程。首先,查看 tfmp_Admin/index.html 的源码:从代码可以看到,当点击登录按钮旁边的链接“如果忘记账号与密码,试试找回?”,时,会执行 js的views() 函数,该函数是弹出一个对话框并向SEMCMS_Remail.php?type=find 发送请求,
支付漏洞 【ladybird】
支付漏洞属于逻辑漏洞,一般也只能做黑盒测试。要挖掘这类漏洞,需要将思维发散,就是不要按常理出牌。这样就有可能找到程序员疏忽的地方。进入靶场,点击某个商品,购买数量输入1,点击购买:然后填写订单信息并提交:提示余额不足。在此可以猜测程序是否是: 余额 = 余额 - 需付金额数。如果需付金额没有考虑负数的情况的话,那么余额就会变多。因此,可将购买数量改为负数来测试:结果居然提交成功:去会员中心查看余额
本地包含与远程包含漏洞 【ladybird】
本地搭建 phpMyAdmin v4.8.1 的环境。既然是审计文件包含漏洞,那么我们只需要关注 include()、include_once()、require()、require_once() 这4个函数即可。用Seay审计工具查找一下:搜索的结果中,我们重点关注 include 包含的文件是可控的条目,其他include 固定文件的可以先忽略。如上图,index.php 文件中有一处包含的文
DOM XSS靶场 【ladybird】
首先访问靶场:其中发现当前路径显示在了页面上,于是尝试在url中加入参数再访问:也将请求参数显示在了页面上再继续用测试,这次添加尖括号:也显示在了页面上,于是添加js语句进行测试:结果弹框了,很好。然后查看一下dom.php的源码,主要代码如下:代码首先获取GET请求参数url的值,然后将其进行URL解码,判断url链接来源,如果符合条件,则进行xss敏感输入过滤,过滤好后将该URL拼接到一个if
存储型XSS靶场 【ladybird】
这题的靶场是 FineCMS v5.3.0然后通过搜索找到FineCMS v5.3.0 版本的XSS漏洞的分析并复现的文章。具体的代码分析可参考链接:https://www.freebuf.com/column/165269.html可以将FineCMS v5.3.0 的源码下下来,结合代码分析一下该漏洞,同时在本地搭建环境进行漏洞复现。简单来说,就是可通过构造URL,让后台生成错误日志,而后台对
反射型XSS靶场 【ladybird】
首先在编辑框输入 1,提交:再尝试输入 1" ,提交:结果发现1后面的双引号并没有将value属性的双引号闭合,而是被转义输出了。再尝试输入 1',提交:结果发现单引号可以起到闭合前面的作用,看来有戏。然后输入 ' onclick=alert(1) ,提交后,点击编辑框,并没有弹框,再查看元素:发现 alert(1) 后面还有个单引号,这里加入注释符号试试:于是再输入&n
CSRF跨站伪造请求 【ladybird】
这题其实是用Dedecms 5.7版本的文件包含漏洞,来进行CSRF的利用.漏洞出现在 /dede/sys_verifies.php 文件中,来看代码:如上图,当请求参数action的值为"getfiles"时,程序会在 /data 目录下生成文件 modifytmp.inc 并写入内容,而写入的内容是我们可以控制的,可通过添加GET请求参数refiles来控制。要想利用这个
SSRF漏洞和利用 【ladybird】
直接访问:http://120.203.13.75:8123/ssrf/typecho-1.0-14.10.9-release/index.php/action/xmlrpc页面提示如下:提示信息告诉我们,该URL访问的是一个xmlrpc服务,但该服务只接受POST请求。因为这里可以通过xmlrpc来对外发起网络请求,所以这里也存在SSRF漏洞。关于xmlrpc请求为什么会存在SSRF漏洞:(详见