记一次edusrc漏洞挖掘过程
2020-09-09 12:56:53 Author: forum.90sec.com(查看原文) 阅读量:544 收藏

作为一个漏洞挖掘的新人,第一次写文分享,如果有写得不好的地方希望大家给予批评指正。希望能加入90和大家一起学习。

目标站点 http://xx.xx.xx.xx,访问的界面如图。

image

看起来似乎是某个管理界面。
尝试了访问phpinfo(),phpmyadmin等,均没有访问权限。
尝试访问Your Projects下面的目录,发现会跳转至/xxx(例如访问back则跳转到/back)。
请教了一下大佬才知道要在网站url后边直接加上这个路径去访问,例如http://xx.xx.xx.xx/back
随后在http://xx.xx.xx.xx/NMIS下发现了一处跳转(抱歉这里没有存图)

大概意思是要跳转到http://xx.xx.xx.xx/NMIS/login.html,但是跳转部分的代码失效了,于是手动加上/login.html。跳转到了一个登录页面,且url的域名也发生了改变(比如本来是http://11.22.33.44/NMIS的,手动跳转后变成了http://xxx.com/NMIS/login.html 了)

对登录框稍微尝试了一下爆破,注入,没成功。
直接不带路径访问目标url。发现目录遍历且有源码泄露。

image

下载源码包,开始审计。

发现/NMIS/api/controllers下的NcUserAPI时,有一个login_init方法,会设置一个会话(这里函数本身应该是校验身份后给用户设置合法会话的功能,但是直接访问的话便可以直接得到一个合法的会话)

image

于是我们直接访问http://xxx.com:8088/NMIS/ncUsersAPI/login_init,获取到一个会话令牌.

随后发现这里还有一个search方法,看起来像是查找用户信息的。访问一下,如下。

image

(这里如果没有先访问login_init获取session是不能直接访问search方法获取信息的)。

随后把刚才密码的md5丢到在线解密网站,得到一个账号和密码。回到刚才/NMIS/login.html的登录框。尝试登录。
登陆后头像处存在任意文件上传,直接传php一句话木马。

image

代码执行成功

image

由于是edusrc,讲究点到即止,本次挖掘到这里也就没再继续往下进行了(提交跑路)


文章来源: https://forum.90sec.com/t/topic/1283/1
如有侵权请联系:admin#unsafe.sh