Aggregator
DORA Takes Effect: Financial Firms Still Navigating Compliance Headwinds
记录一次CMS的代码审计
本次代码审计使用了白加黑的手法,用黑盒的视角测试功能点,用白盒的方式作为验证。
0x1 XSSguestbook处,可以看到有一个留言板
idea搜索guestbook。发现代码如下,其中的getModel是获取数据的方法。Guestbook.class就是具体要获取的数据。
跟进Guestbook.class查看,发现GuestBook继承自BaseGuestbook
继续跟进BaseGuestbook可以发现http请求的数据,没有发现有过滤函数。
然后使用管理员登录后台查看留言,发现确实如我所想,存在xss漏洞。
ps:审计小技巧,开启sql日志然后一边打payload一边看记事本是否漏掉过滤哪些字符。这里是完全没有过滤,所以在出库的时候如果没有防护,基本上就是实锤xss了。
在产品中心发现有一个搜索框
看到源码,没有发现有过滤字符,这里采用之前开启的mysql日志,通过日志文件的sql语句判断是否有过滤。
直接输入单引号发现该cms返回500报错,很有可能存在sql注入。
于是使用两个单引号''使得系统不抛出异常,然后查看日志文件中发现sql语句没有过滤单引号,说明注入确实存在。
or 1 结果
or 0结果 注入确实存在
0x3 文件下载/common/down路由中的file方法,直接获取http请求中的filekey参数,并且没有过滤../等关键字符。fileKey的值和PathKit.getWebRootPath()函数的返回值拼接。然后fileKey其实就是http中的参数。
ps:该路由不在前台,只能通过白盒的方式去进行,但是后续通过github上的fuzz字典发现也可以fuzz得到但是fuzz发包数量巨大不作为参考。但是日后如果实在挖不出洞,可以考虑多fuzz一下,也许就出货了也说不准。这里用的字典较大,其实可以考虑小一些的字典,算是个人的一些挖洞经验吧。
参数的fuzz
0x4 csrf在系统管理-> 系统用户 -> 添加用户处,抓包然后使用burp生成csrf poc
保存至html后,点击submit request
可以看到用户被成功添加了
0x5 组合拳+sql备份getshell未果(条件较为苛刻)这里是想getshell来着,毕竟都白盒了,当然能getshell就getshell,不能getshell就想办法getshell了。这里是发现后台上传接口,过滤了jsp,jspx文件名。
发现公司管理->基础内容->公司信息有上传图片
上传jsp文件,jspx文件均被拦截。
然后发现系统管理->数据库管理处发现可以进行数据库备份还原操作。在数据库还原抓包,发现是一个sql文件名字。这里想到之前的任意文件下载,那么岂不是可以通过上传一个sql文件,然后通过备份这个sql文件进行数据库备份getshell。
首先去下载备份好的sql文件,路径在static/back/文件名
然后添加getshell的payload
然后上传该sql文件,注意需要改后缀名为png
然后sql备份处填写上文件名,使用../让系统跨目录读取png图片
然后查看payload上的1.jsp是否成功生成。
访问的时候失败了,无法解析jsp,jspx等文件,但是服务器确实有写入了jsp文件
得到了两个前置条件
-
需要知道系统的绝对路径
-
系统下得开启其他能够解析的应用(如另外一个java系统在其他端口上,但是能够解析jsp,就可以通过该cms的漏洞在其他系统上写webshell,也算是一个任意文件写入,做到了"隔山打牛")
一个比较容易忽略的点,通常admin的默认密码管理员基本都会在部署网站之后马上修改,但是如果类似有几个账户的情况下,管理员可能会忽略掉其他用户的默认密码。这里可以直接看sql文件。在其sql文件下发现有两个默认账号一个是admin,一个是read。
read登录成功
0x7 总结本次代码审计强化学习了白+黑的方式,更加简单的找出了漏洞,有些地方还欠缺一些思路,比如0x5rce那一块,想着是不是可以写一个class文件达到rce的效果。或者覆盖掉原本的xml文件之类的操作,不允许上传jsp,jspx文件是否可以通过上传war包来进行getshell。总之觉得还有诸多不足,篇幅关系记录到这。
记录一次CMS的代码审计
Security Concerns Complicate Multi-Cloud Adoption Strategies
Security Concerns Complicate Multi-Cloud Adoption Strategies
While cloud adoption continues to drive digital transformation, the shift to the cloud introduces critical security challenges that organizations must address.
The post Security Concerns Complicate Multi-Cloud Adoption Strategies appeared first on Security Boulevard.
Re @finanzakrobat @sparbuchfeinde Es ist auch höchstwahrscheinlich Quatsch. Die sollten mal ihre Quellen verifizieren. Der Hebesatz kann vorher ja ni...
Re @sparbuchfeinde Wenn die Grundsteuer unter dem Messbetrag von 372 Euro lag, dann müsste der Hebesatz ja vorher unter 100% gewesen sein. Das kann i...
Dynatrace reduces time-consuming compliance configuration checks associated with DORA
Dynatrace has extended its existing compliance capabilities to support the Digital Operational Resilience Act (DORA) EU regulation. As part of this, Dynatrace is introducing the Compliance Assistant app, purpose-built to provide organizations with the visibility, insights, and automation to mitigate risk and reduce time-consuming compliance configuration checks associated with DORA. “Organizations are grappling with new regulations and technologies, such as GenAI, and struggling to address, upskill, and staff compliance functions,” says Rob Strechay, Managing Director … More →
The post Dynatrace reduces time-consuming compliance configuration checks associated with DORA appeared first on Help Net Security.
CVE-2024-11139 | Schneider Electric EcoStruxure Power Build Rapsody up to 2.5.2/2.7.1/2.7.5/2.5.4 memory corruption (SEVD-2025-014-09)
三个月测一站之漏洞挖掘纯享版
好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。
nday进后台:
开局一个登录框:
通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。
语句:xxx系统历史漏洞 or xxx平台历史漏洞
如上图,拼接payload,通过/../..;号实现权限绕过:
302跳转进入后台,发现为管理员界面。
进入一个系统时,一定不要着急马上测试,要先总体看看这个系统的功能点,基本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
总体看了看系统功能点,便点进个人信息处,尝试文件上传漏洞getshell。
点击选择,随后页面进行了一个奇怪的跳转:新开了一个页面
我先尝试文件上传,不过只能上传图片格式,我观察到该文件路径中存在:type=images,于是尝试将images自行修改,不过这种页面居然不能修改url,于是复制url放到正常浏览器访问,尝试修改无果。
发现页面存在修改文件后缀功能,但也被限制。
这时我发现站点采用了ckfinder编辑器,于是按照:xxx历史漏洞继续搜索:\
翻看大量文章后并未发现能成功复现的漏洞,但我发现了ckfinder的一个新路径:
将url的?后面全部删除进入如下界面:
这时发现刚才原来只是处于images文件夹下,所以被限制很严格。
于是我再次在files文件夹下上传可执行文件,但jsp和php之类均被限制,jspf或者jspx也无法绕过,只有尝试xss类型文件上传了:
上传发现关键字被黑名单限制,于是先上传了一个空的txt文档,上传后再对内容,后缀名进行修改:
修改如下:
双击访问:
成功执行恶意js代码,造成弹窗,这种漏洞就会很容易在管理员访问时,直接将cookie盗取。
同时记住,想这种功能点,属于站点较为深入的功能点处,还极可能存在未授权访问漏洞,删除认证字段访问:
访问成功,由此获得未授权访问加xss类型文件上传漏洞。
这种类型漏洞就可用作挂马,制作钓鱼页面等高危害操作。
多处sql注入漏洞:
该站点功能点很多,这也是为什么我测了很久的原因:
注入点1:
经过翻找发现如下页面,可直接执行sql语句:
输入sql语句抓包查看:
延时成功,虽然从设计功能点来看,这其实并不能算是漏洞,因为本身开发者就是要这么设计的,但在挖掘漏洞时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户密码等。
注入点2:
功能点如下,此站点查询功能点极其多,但并不是每一个都有漏洞,所以黑盒测试就需要一个个慢慢测试:
抓包,输入单引号报错,两个单引号页面正常,尝试sql手注:
利用堆叠注入延时成功。
数据库的遍历:
继续探索,发现如下页面:
先前便提到过,黑河测试一定要将功能点转化为数据包,接口,参数进行测试,不然这时我可能只会看到一个数据库信息而已。
我翻看该功能点数据包时,直接就发现了展现该页面的请求包与返回数据:
如上图,泄露了数据库地址,账户密码。
但此时注意请求包参数:id=1,很明显,我直接遍历id值:
在前端其实只能看到一个数据库的地址,用户密码。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等类型,危害瞬间扩大。
三个月测一站之漏洞挖掘纯享版
Хакеры Clop снова вышли на связь: что произойдёт 18 января?
Cybersecurity Breaches Degrade Consumer Trust, but Apathy Rises
Cybersecurity Breaches Degrade Consumer Trust, but Apathy Rises
Most consumers are still unaware of their own role in cybersecurity incidents and continue to place primary blame on external bad actors.
The post Cybersecurity Breaches Degrade Consumer Trust, but Apathy Rises appeared first on Security Boulevard.
本周看什么 | 最近值得一看的 9 部作品
No, Brad Pitt isn’t in love with you
2022 zero day was used to raid Fortigate firewall configs. Somebody just released them.
Геометрическая головоломка длиной в столетие: что скрывают диаграммы Венна
Bitwarden unveils native mobile applications for iOS and Android
Bitwarden announced Bitwarden native mobile applications for iOS and Android. These new apps provide significant performance improvements, a smoother user experience, and deeper integration with platform-specific features such as biometric authentication. Elevating the mobile user experience The evolution to native app development allows Bitwarden to deliver enhanced features and a superior mobile experience. Developed natively in Swift for iOS and Kotlin for Android, the mobile apps now ensure faster performance, quicker updates, and greater access … More →
The post Bitwarden unveils native mobile applications for iOS and Android appeared first on Help Net Security.