侦察:
通常,上手‘宽范围’目标的第一件事就是找到公司的 ASN 和 CIDR,通过它们可以访问属于公司的 IP,拥有公司的 IP 对搜索的下一阶段非常有帮助。例如,当我们到达一个使用CDN的网站时,我们可以通过这些IP来找到该网站的源站IP或者获取每个IP的PTR记录,如果它处于活跃状态,我们可以访问 IP 上服务的域(类似于反向 A 记录)。或者可以做一个端口扫描,但必须验证IP上的服务是属于目标公司的。
首先可以在 https://bgpview.io 上搜索目标公司的名称,查看ASN,然后就是在ASN中查找实时IP,可以使用以下命令手动完成:
whois -h whois.radb.net -- '-i origin AS123' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq | mapcidr -silent | httpx
asn:AS123
在这一步中,它获取 ASN 所有者的信息并使用 grep 命令从 whois 命令输出中提取 出CIDR。然后删除所有重复项并将结果传递给 mapcidr 以进行映射和 IP 转换,管道中的最后一步是使用 httpx 执行服务发现,同时还可以为 httpx 指定端口。
执行此流程的最简单的方法是将 Shodan 与此搜索查询一起使用:
asn:AS123
注意:Shodan ASN 搜索不适用于免费帐户,你必须拥有会员权限。
通过 Shodan 的配合,一共找到了大约 200 个 IP,在这其中对一个类似于管理面板的页面开展‘狩猎’。
漏洞发现:
目标是一个管理员登录页面,在查看Wappalyzer后,可以发现它是用PHP编写的。
首先想到的是在登录页面上测试 SQLi ,但并未成功。
接着,由于目标有一个文档根目录,于是可以使用 FFUF 对目录和文件进行扫描。
几分钟后,FFUF 找到了一个 401 响应代码的页面:
http://target.com/Config/
通过在浏览器中请求该页面,并在登录页面上测试了ADMIN:ADMIN,很幸运,它成功了!
详细查看该页面,发现了 js、css、images、data等几个文件夹,然而 images 文件夹中的一个 rar 文件引起了我的注意。
解压该文件发现一个.doc文件,管理员可以使用它来更改网站的LOGO和照片。
看到那个 changelogo.php 文件了吗?我能想到的第一件事就是在浏览器中向它发送请求,但响应包中没有看到任何内容。通过Burp的再次检查,发现该页面并未成功加载。
而在浏览器中测试它时,可以看到页面被重定向到 index.php,然后在检查该请求时,响应中的代码再次引起了我的注意:
如你所见,在这里可以上传文件,根据上传要求,我上传了一个 gif 文件,可以看到上传后的图片就保存在images文件夹中:
我尝试上传shell,但都没能成功:(除了.png 和 .gif 外,无法上传任何其它类型的文件,于是我开始在上传的文件中测试一些 RCE、SQL和SSTI:
由于是 PHP编写的,因此存在SQL注入的可能性较大,于是从SQL注入开始,但均未成功,在这之后,我开始测试一些RCE Payloads:
filename="test||sleep 30 ||.gif"
最终,通过侦查阶段找到的所有 IP 中搜索了类似该页面的标题,在同一个 IP 范围内,还发现了另一个完全相同的页面,同样存在该漏洞!
接下来就是报告这些漏洞,几小时后,我的漏洞报告进入分类阶段:
希望你通过本篇文章能有所收获,如果觉得还不错的话,欢迎分享给更多喜爱的朋友们~