目
录
一、故事背景
二、实战案例
一、故事背景
回顾往期内容
好久不见。
记得写完上一篇文章《实战笔记之服务端逻辑重构漏洞》后。
...
比3月29号提前了两天,不算如期而至。
期间参加了一次秘密众测,中间get到一个比较冷门的漏洞点,虽然危害不高,但想简单记录分享一下。老师傅绕路,下篇文章再见~
二、实战案例
1
复现场景
①两重身份:普通用户&管理员用户
②漏洞切入点:后台具有数据导出的接口
③挖掘思路:实际测试中,要是看到有导出按钮的地方,有两个思路。
a. 常规思路,越权。
b. 冷门思路,csv/xlsx注入
2
**复现步骤
**
01
发现脆弱点
登录管理员身份——后台有导出接口——测试csv/xlsx注入
02
登录普通用户身份——前端发布内容
内容填写恶意payload: **=2+5+cmd|' /C calc'!A0
**
(ps:这个是弹计算器,图片中写的是cmd执行ipconfig命令)
点击发布。
03
登录管理员身份——进入后台——导出发布的内容数据
①点击导出,这里导出的是xlsx格式
②下载完成,点击启用编辑
③点击一下此单元格,再点击任意其它地方
④弹出对话框,点击“是”
⑤触发payload, 后台会悄悄运行cmd并执行ipconfig命令
⑥如果用 =cmd|' /C calc'!A0 这个Payload,则弹出计算器
win7
win10
漏洞危害
(上面这句话,是在漏洞报告里吹的五香麻辣牛肉屁,不要当真。)
⑦真正涉及漏洞利用,需要很多次管理员点击交互。所以危害程度也就不够高了。
顺便提一下如果是csv格式的文档,则需要交互的地方就比xls/xlsx格式少两步。
可以本地测试一下:
a. 新建1.csv
b. 写入语句
c. 保存后,重新打开
d. 点击是,即可触发payload
复现过程中,有两个需要注意的点:
(1) 由于是xls/xlsx格式的文档,第一次下载打开时,会比csv格式的文档多两步交互才能触发payload.
(2)如果使用的是win7/win8或其它低版本机器,即可直接打开。
若使用的是win10复现此漏洞,需要进行以下操作才能执行payload。
还有一些升级的payload玩法,因为都是前车之鉴,所以网上都能找到的,不再累赘。
欢迎各位师傅,在后台留言批评指点。
END
下一篇。记录一下对业务安全层的黑灰产硬件工具研究。
