WooYun.org

故事的发展是这样的,某某一天想撸一个目标,是中企动力cms的
存在http://**.**.**.**/bugs/wooyun-2015-0145311 该注入点
但很可惜是时间盲注点

select pwd from T_USERS
很可惜密码不是普通的md5加密 测试了好几个站点都破解不出来
接着发现一个表T_USER_PASSWORDRETRIEVE
看命名就能知道是密码找回验证表
http://**.**.**.**/manager/user.do?method=toFindPwd
随便找了一个站点
上面链接就是找回密码的链接但是我们并不知道发往邮箱的链接的方法名 method
爆破method参数值无果
......
省略各种折腾
......
4天时间过去后
去官方溜达发现了一个很低级很严重的漏洞
购买过中企动力产品的客户可以去
http://**.**.**.**/MemberCenter/certification/toCertification 这里根据信息注册会员以更加方便的管理自己的站点 但是大部分客户并没有去注册 接下来就看如何伪造其他客户去注册

输入客户全名

这里有网站和域名两种验证 网站验证需要后台密码 所以这里用域名验证

完整域名 相信很easy了吧 还有貌似域名校验是在前台完成的 所以这里基本不成障碍
然后点击获取验证码

改为自己的邮箱

成功获取到验证码

然后绑定个手机号就可以了 这里我用了阿里小号

成功注册
然后登录进去后 找回网站管理密码

然后又发现一个越权漏洞

http://**.**.**.**/MemberCenter/home/domainNameResolutionHtml?domainName=**.**.**.**

dns解析配置

越权访问其他域名

结果就是可越权修改几万客户的dns配置 导致域名劫持
接下来就是以管理员身份登录后台并 再添加一个管理员邮箱写自己的邮箱
然后退出来找回密码用自己的邮箱 接着去邮箱拿到用来重置密码的URL

method参数值拿到 还需要id和mes值 这两个值T_USER_PASSWORDRETRIEVE 在这个表里就有
测试了百度谷歌搜索出来的站点 测试过的都可以时间盲注
接下来就是 --sql-shell 然后
1 select name from T_USERS
拿到邮箱地址 重置密码
2 select id from T_USER_PASSWORDRETRIEVE
3 select mes from T_USER_PASSWORDRETRIEVE
然后拼接 /manager/user.do?method=doGetPwdNew&id=***&mes=*** 重置密码进入后台
后台还有一处通用任意文件下载