EDUSRC-漏洞挖掘案例(一)
声明
在发现此漏洞后,第一时间联系了该大学的信息中心老师,并且该系统当晚就完成了修复。
本文的初衷就是分享网络安全知识,若有读者因此做出任何危害网络安全的行为,请后果自负。
系统地址:http://xxx.xxx.edu.cn/index.php/index/login
报名申请页面:http://xxx.xxx.edu.cn/register
一、任意文件上传漏洞
报名申请页面有一处上传图片的功能
然后我们上传一个正常的图片,会提示需要输入身份证号才行
然后随便输一个身份证号就行
例如:110999199901011111
成功上传后会返回此文件在服务器上的路径
改后缀为.php
也可以上传成功,不过网站的waf会对上传文件的内容做检查,当出现php
、$_GET
、$_POST
等php相关函数时会直接报错,提示文件有威胁。
绕过waf
姿势挺多的,这里找了一种,直接用反引号执行命令。
1 | <?=`$_GET[1]`; |
上传成功。
shell地址:
1 | http://xxx.xxx.edu.cn/public/uploads/registers/110999199901011111/100.php?1=whoami |
未深入测试。
二、任意文件删除漏洞
这个洞没仔细测,因为会删除服务器上的文件,比较敏感,怀疑是有的。
漏洞出现在删除上传图片的功能处,上传一个文件,删除时抓包会抓到删除接口
经过Urldecode
发现是真实路径。
1 | /data/html/public/uploads/registers/110000100000000000/100.jpg |