當前位置：首頁 > 前端技术 > javascript >内容正文

javascript

某设备产品漏洞挖掘-从JS文件挖掘RCE

發布時間：2025/3/21 javascript 14 豆豆

生活随笔收集整理的這篇文章主要介紹了某设备产品漏洞挖掘-从JS文件挖掘RCE 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

前言

某次滲透過程中碰到了個設備產品，通過一些黑盒測試小技巧獲取目標權限

信息收集

【點擊獲取網絡安全學習資料·攻略】

2000多本網絡安全系列電子書

網絡安全標準題庫資料

項目源碼

網絡安全基礎入門、Linux、web安全、攻防方面的視頻

網絡安全學習路線圖

首先拿到了目標，同樣也需要對設備進行信息收集，登錄頁面有滑塊驗證和賬號密碼請求包加密

暫時先放棄從JS里獲取密碼加密方法，先嘗試找一些接口來獲取信息，查看源代碼

訪問一下JS目錄，這里有一個小技巧，當目錄存在時會自動在后面加上 /, 例如瀏覽器訪問 /js, 將會變成 /js/ 來訪問

https://xxx.xxx.xxx.xxx/js

這里簡單測試一下發現存在的目錄可以通過判斷403來確定目錄存在，對下一步文件爆破提供幫助，這里使用Gobuster進行爆破

獲取到的存在的目錄信息

/js/ (Status: 403) /lan/ (Status: 403) /php/ (Status: 403) /images/ (Status: 403) /html/ (Status: 403) /vendors/ (Status: 403) /upload/ (Status: 403)

我們需要注意的為 js 與 php 目錄下的文件，才可能存在突破口，首先爆破 js目錄下的 js文件

獲取后通過爬蟲遍歷 JS文件下載到本地翻閱，其中發現 /js/index.js 文件中有敏感信息，猜想可能是后門賬號或者默認密碼

拿著拿到的賬號去登錄一下試試

成功登錄目標系統，用戶為 administrator, 查看存在的用戶發現這個可能是后門賬戶

漏洞挖掘

任意文件讀取漏洞 (exportrecord.php)
目前我們以及獲取到了目標的后臺管理權限，且權限比較高，我們可以繼續測試漏洞
之前爆破到了 php目錄，猜測為功能性文件，我們可以通過 js文件中的信息獲取一些文件名和接口信息

這里在 backup.js 文件中發現一個有關的下載接口

function downloadBak(index) {var data = $('#backupList').bootstrapTable("getData");if (index >= 0 && index < data.length) {var downurl = '../php/exportrecord.php?downname=' + data[index].id;window.open(downurl);} }

猜測 downname參數為文件名，測試能不能下載文件

/php/exportrecord.php?downname=exportrecord.php

這里得到了 /php/exportrecord.php 文件

傳入downname參數，沒有對 …/ 符號過濾，就導致跳目錄讀取文件
現在我們有了一個任意文件讀取，我們再通過目錄爆破獲取更多的PHP文件源碼

遠程命令執行漏洞 (ping.php)

通過剛剛到目錄爆破我們看到一個非常值得注意的文件 ping.php，設備中常見的網絡聯通性測試文件，也是設備中常見的漏洞點, 通過文件讀取漏洞讀取文件

這里可以看到這里接收的參數 jsondata數組中的 ip參數，用戶可控造成命令拼接，而且通過 exec 執行，并且會 return到頁面中，導致回顯的RCE

POST /php/ping.phpjsondata[ip]=a|ipconfig&jsondata[type]=1

目標為Windows系統，測試寫入phpinfo文件

寫入免殺并流量加密的Webshell，嘗試獲取目標設備權限

最后

點擊查看【網絡安全學習資料·攻略】，私信我獲取網絡安全學習資料

總結

以上是生活随笔為你收集整理的某设备产品漏洞挖掘-从JS文件挖掘RCE的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：【网络安全】Linux内核部分文件分析
下一篇：某IP设备代码审计