对回形针paperclip站点的安全测试
前言
先简单的介绍一下自己,Yunen,重庆大学大二信安在读生,是回形针paperclip的粉丝,对网络安全方面感兴趣,这次看到了回形针弄了自己的科普网站,打算利用自己的知识,给予回形针一点点小帮助:)
测试
前台搜索框XSS
使用特殊单词test123,先查看页面的输出点:
可以看到页面有5个输出点,先把每个输出点都看一下:
发现输出点全部被引号给包围了起来,我们尝试跳出引号的限制。
首先尝试"双引号。发现全部的输出点都进行了转码的处理(其中form表单转成utf-8编码,其他均为html实体编码)
接着尝试'单引号,发现在此处,单引号可以成功跳出限制。
通过查看网页的源代码可知:此处对于href属性的限制使用的是单引号。
接下来就可以很容易的构造利用的payload:
1 | https://ipaperclip.net/doku.php?do=search&id=start&sf=1&q=test1%27%3E%3Cimg%20src=x%20onerror=alert(1)%3E%3Cimg%3E%3Cp |
tip此处还有第二个利用点
通过查看网页源代码知道:此处甚至没有使用引号进行包围:
不过此处可被利用的前提是:搜索的结果不为空。
因为只有这样,页面才会有跳转表单的代码。
估计只有等回形针做了关于web安全的科普才有可能得以利用得上。
PS:我在编辑指南之中疑似看到了可以插入html代码,不过我并没有进行测试。
网站绝对路径泄露
越权
1)疑似可控制只读页面上传文件(未进行尝试):
1 | https://ipaperclip.net/lib/exe/mediamanager.php?ns=wiki::%E5%A6%82%E4%BD%95%E6%AD%A3%E7%A1%AE%E7%BC%96%E8%BE%91%E4%B8%80%E4%B8%AA%E6%9D%A1%E7%9B%AE&edid=wiki__text |
2)越权删除他人评论
这里选择一条删除不影响的评论作为演示
右键审查元素查看回复按钮的源代码,可获取其对应的cid。
抓取删除自己评论的数据包,并将其替换发送。
成功删除(注意发表时间):
公开漏洞利用
由于时间关系,这里只测试了一个比较新的公开漏洞。其他请自测:)
用户名枚举
结语
此次测试花费一个小时左右,由于网站的用户交互处并不多,且原站点程序相对比较成熟,故对于黑盒测试来说,可以进行测试的点其实并不是很多,再加上我个人能力有限,只找到了这些BUG。最后,祝回形针PaperClip越办越好。