最近看到小伙伴们都提交siteserver漏洞,因此也简单看一下,没有想到看到一行很有意思的代码,也不知道是不是我看错了,提交上来确认一下,如果是误报,就忽略吧。
如果确实有问题,请赏赐邀请码一枚,感激不尽
详细说明:
一直认为,整个安全体系最关键是权限,因此拿到siteserver后,第一个点就是看它权限设置...
siteserver后台页面是需要登录,否则直接跳转到登录页面,因此我对一个有保护的后台页面进行分析,看它的验证过程。
比如/siteserver/platform/background_dbSqlQuery.aspx页面:
对应源代码
BaiRong.BackgroundPages.dll的
BaiRong.BackgroundPages.BackgroundDBSqlQuery类,Page_load具体源代码如下
对代码分析可以看到有一个BreadCrumb函数,对其分析发现是权限检查函数。而使用base表示父类的BreadCrumb。看到BackgroundDBSqlQuery类的集成关系,可以看出父类是BackgroundBasePage
查看父类BackgroundBasePage代码:
调用代码在 AdminManager.VerifyPermissions(permissionArray);中。进行进入该函数进行分析:源码如下
对权限进行检查,如果失败,就会调用AdminManager.LogoutAndRedirect()函数,执行退出操作。
其实可以看出AdminManager.LogoutAndRedirect()函数,是分析的重点,问题在这里
获得注销url路径,然后注销用户,调用PageUtils.Redirect进行url跳转(ParseNavigationUrl函数是获取跳转的完整路径)
Redirect函数源代码如下:
其实这个问题,我觉得最关键的就是这行代码。查询asp.net帮助信息,可以找到Redirect的原型:
第一个参数表示目标位置,而第二个参数,从官方文档可以看出,是表示是否终止当前页面的响应,默认是true。而程序员”画蛇添足”(可能有自身需求吧,或者其他地方可能需要这么写,未知)将第二个参数设置为false,导致页面跳转后,没有停止页面响应。
这样即使请求页面,没有访问权限,但是该页面也可以正常响应,这样一行代码,导致该系统所有权限防护彻底崩溃。权限是系统安全的基石,倒塌之后相当于没有权限。后台”任意“(没有所有功能都测试,至少执行sql查询、修改管理员密码等等)功能如入无人之境...
漏洞证明:
使用后台的sql查询功能进行证明,官网路径
http://www.myhack58.com //siteserver/platform/background_dbSqlQuery.aspx
直接访问会跳转到登录界面,这个过程不截图了,大家自己测试好了。
使用burp 对数据包进行过滤:
发送请求:
在此抓取到返回结果:
正如上面代码分析的那样,代码检测到没有权限发送了跳转,但是从返回内容可以看出不单单是跳转还有很多内容,因此将302 改成200 去掉跳转代码看看,修改如下所示:
注:返回页面最后一段js也去掉,否则还可能发送其他数据包,出去比较麻烦
这样修改后,出现了sql执行界面:
输入一条sql查询,获得管理员信息的,如下所示:
抓取返回数据包:
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
![英雄棋士团(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/yingxiongqishituanyuxiazai.jpg)
![美食小当家?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/meishixiaodangjia.png)
![2047?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/2047.jpg)
![荣誉指挥官(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/rongyuzhihuiguanyuxiazai.png)
![繁荣美食市场物语?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/fanrongmeishishichangwuyu.jpg)
![夸克浏览器 v4.2.1.138 好用的手机浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/kuakezuolanqi.jpg)
![移动办公软件 OfficeSuite Premium v10.18.28716 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/yidongbangongruanjian.jpg)
![乐秀视频编辑器 VideoShow v8.8.4 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/lexiushipinbianjiqi.png)
![X 浏览器 v3.3.9 一款小巧的安卓浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/x.jpg)
![安卓密码管理软件 Enpass v6.4.5.368 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/anzhuomimaguanliruanjian.jpg)
![差分复制同步 FastCopy-M v3.6.3.51 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/FastCopy3.png)
![多标签页拓展 Clover v3.5.2 Build 19809 精简绿色版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Clover.png)
![文件重命名 Advanced Renamer v3.85 Lite 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Advanced_Renamer.png)
![网络防火监控 GlassWire Elite v2.1.166 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/GlassWire.png)
![影音播放器 Daum Potplayer v1.7.20538 美化便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/PotPlayer.png)
