前言

先简单的介绍一下自己,Yunen,重庆大学大二信安在读生,是回形针paperclip的粉丝,对网络安全方面感兴趣,这次看到了回形针弄了自己的科普网站,打算利用自己的知识,给予回形针一点点小帮助:)

测试

前台搜索框XSS

使用特殊单词test123,先查看页面的输出点:

image-20200202204139586

可以看到页面有5个输出点,先把每个输出点都看一下:

image-20200202204231400

image-20200202204246712
image-20200202204306439
image-20200202204316585

发现输出点全部被引号给包围了起来,我们尝试跳出引号的限制。

首先尝试"双引号。发现全部的输出点都进行了转码的处理(其中form表单转成utf-8编码,其他均为html实体编码)

接着尝试'单引号,发现在此处,单引号可以成功跳出限制。

image-20200202204949253

通过查看网页的源代码可知:此处对于href属性的限制使用的是单引号。

image-20200202205029884

接下来就可以很容易的构造利用的payload:

1
https://ipaperclip.net/doku.php?do=search&id=start&sf=1&q=test1%27%3E%3Cimg%20src=x%20onerror=alert(1)%3E%3Cimg%3E%3Cp

image-20200202205301539

tip此处还有第二个利用点

image-20200202205413830

通过查看网页源代码知道:此处甚至没有使用引号进行包围:

image-20200202205554547

不过此处可被利用的前提是:搜索的结果不为空。

因为只有这样,页面才会有跳转表单的代码。

估计只有等回形针做了关于web安全的科普才有可能得以利用得上。

PS:我在编辑指南之中疑似看到了可以插入html代码,不过我并没有进行测试。

网站绝对路径泄露

image-20200202213150874

越权

1)疑似可控制只读页面上传文件(未进行尝试):

image-20200202213453241

1
https://ipaperclip.net/lib/exe/mediamanager.php?ns=wiki::%E5%A6%82%E4%BD%95%E6%AD%A3%E7%A1%AE%E7%BC%96%E8%BE%91%E4%B8%80%E4%B8%AA%E6%9D%A1%E7%9B%AE&edid=wiki__text

2)越权删除他人评论

这里选择一条删除不影响的评论作为演示

image-20200202222451681

右键审查元素查看回复按钮的源代码,可获取其对应的cid

image-20200202222507433

抓取删除自己评论的数据包,并将其替换发送。

image-20200202222734992

成功删除(注意发表时间):

image-20200202222753632

公开漏洞利用

由于时间关系,这里只测试了一个比较新的公开漏洞。其他请自测:)

用户名枚举

image-20200202220756814

image-20200202220827803

结语

此次测试花费一个小时左右,由于网站的用户交互处并不多,且原站点程序相对比较成熟,故对于黑盒测试来说,可以进行测试的点其实并不是很多,再加上我个人能力有限,只找到了这些BUG。最后,祝回形针PaperClip越办越好。