简单的渗透测试报告一枚

以下是漏洞方面:

因为这个是非常简短的测试报告

漏洞方面就给予一个

漏洞出现在

/www/hstml/board/lib/down.php  文件 

图1:


漏洞源代码:

 

<?

 

if(is_file(“../system/db/$db/data/$fname”)) {

 

 

include “../../DCadmin/system/connect.php”;

include “../../DCadmin/dbconn.php”;

$ItsTN = $db;

$sql = “select download,file from $ItsTN where uid=$number”;

$result = mysql_query($sql);

$row = mysql_fetch_array($result);

$files = explode(“-“, $row[file]);

$downs = explode(“-“, $row[downroad]);

for($i=0;$i<sizeof($files);$i++) {

if($files[$i]==$fname) {

if($i==0) {

$tempdown .= strval(intval($downs[$i])+1);

} else {

$tempdown .= “-“.strval(intval($downs[$i])+1);

}

} else {

if($i==0) {

$tempdown .= $downs[$i];

} else {

$tempdown .= “-“.$downs[$i];

}

}

} // for($i=0;$i<sizeof($files);$i++) 끝

$dosql = “update $ItsTN set download=’$tempdown’ where uid=$number”;

$doresult = mysql_query($dosql);

$filename = $fname;

$filetype = $ftype;

$filesize = $fsize;

$file_path = “../system/db/$db/data/”.$filename;

$fname = str_replace($number.”_”,””,$filename);

 

// 20040605 수정 – by qoren

 

if(strstr($HTTP_USER_AGENT, “MSIE 5.5”)) {

header(“Content-Type:application/unknown”);

header(“Content-Disposition:filename=$fname”);

header(“Content-Transfer-Encoding: binary”);

header(“Pragma: no-cache”);

header(“Expires: 0”);

}

else {

Header(“Content-type: application/unknown”);

Header(“Content-Disposition: attachment; filename=$fname”);

Header(“Content-Description: PHP3 Generated Data”);

header(“Pragma: no-cache”);

header(“Expires: 0”);

}

 

//.              Header(“Content-Disposition:attachment;filename=$fname”);

//.              Header(“Content-Transfer-Encoding:binary”);

//.              Header(“Pragma:no-cache”);

//.              Header(“Expires:0”);

//.              fpassthru($fp)

//.              fclose($fp);

 

//                                  echo $filename.'<br>’;

//                                  echo $filesize.'<br>’;

//                                  echo $filetype.'<br>’;

//                                  echo $file_path.'<br>’;

//                                  echo $fname.'<br>’;

//                                  echo “c”;

 

if (is_file(“$file_path”)) {

$fp = fopen(“$file_path”, “rb”);

if (!fpassthru($fp))

fclose($fp);

}

 

// 수정 끝

 

} else {

echo “<script>alert(‘파일이 존재 하지 않아서 다운받으실 수 없습니다’);history.go(-1);</script>”;

exit;

}

?>

 

 

 

可以看见  $fname 变量可控 造成了  任意文件下载漏洞

 

更为可笑的事  居然还带入了 sql 查询

 

通过操控 $number

导致 mysql 注入漏洞

 

图2

漏洞证明:

Current User:         ****822@localhost

Sql Version:     4.0.27-log

 

漏洞的危害性  高

 

通过任意文件下载漏洞

 

我们下载到了他的数据库连接串

 

图3

$DCBHostName = “localhost”;

$DCBDataBase = “***”;

$DCBUserID = “****822”;

$DCBPasswd = “***8256”;

 

通过有关文件下载

 

找到后台地址

 

http://www.91ri.org/super/index.php

 

<tr><form name=”sFm” action=”alogin_ok.php” method=”post” onSubmit=”return alogin_ck();”>

<td>

 

<table cellpadding=0 cellspacing=0 border=0>

<tr valign=top>

<td width=100><img src=”img/login_id.gif” width=100 height=25></td>

<td width=115><input type=”text” name=”admin_id” size=15 maxlength=20 autocomplete=”off”></td>

</tr>

<tr>

<td colspan=2><img src=”img/blank.gif” width=”1″ height=”5″></td>

</tr>

<tr valign=top>

<td><img src=”img/login_pass.gif” width=”100″ height=”25″></td>

<td><input type=”password” name=”admin_pwd” size=15 maxlength=20 class=”inpt” autocomplete=”off”></td>

</tr

 

Post提交给 alogin_ok.php 文件

 

通过下载后台验证文件  进入后台

 

账号密码 储存在 后台验证文件中

 

证明:

 

Admin

 

1111

 

图4

 

“话说回来 ,棒子密码 十个有九个都是 1111  我擦你妹”

 

进入后台后 查看了 后台上传文件

 

利用任意下载文件查看了 路径

 

/DCShop/system/Cates2/

 

 

图5

尼玛 不仅是任意下载 还尼玛的任意上传啊 棒子国度 你伤不起啊。。。

 

成功了拿到web权限

 

图6

91ri.org点评:

渗透测试报道 一般对 一个大型网络 和 数据库 的一些渗透 找出各种漏洞 已经检测各种有危害性的东西 最重要的 还有内网渗透 数据库安全 等等  所以 渗透测试报告 基本上 是有很大的篇幅 这边只是给新手学习下 顶多就算一篇 入侵文章吧。

本文作者kn1f3   授权网络安全攻防研究室(www.91ri.org) 首发.转载本文请著名原文地址及版权信息。