中国网络渗透测试联盟

标题: 千博企业网站管理系统注入0day&GetShell [打印本页]

作者: admin    时间: 2013-1-26 17:55
标题: 千博企业网站管理系统注入0day&GetShell
千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。# r/ B1 b# m# o# Q7 C) w. b1 \

+ ~" {$ J! a5 l, w# b, A * r/ X8 ?# b- G4 W
% u" p- v% l1 k3 ]) r

" u  H( o1 }' F- c9 _4 @漏洞名称:千博企业网站管理系统SQL注入
8 z* m# I4 J% ~测试版本:千博企业网站管理系统单语标准版 V2011 Build0608& D# F5 t# C# [3 q: U
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
& `' ?0 n8 e' T0 W& q) L0 k" [5 T* {漏洞验证:, H$ @+ s' ^" l! A' `3 r1 |
' B( O2 o. [+ u) M" _  a/ n
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容4 X8 q" H$ T. h8 `0 H. j( ]/ o# {7 E
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
7 Z/ Q* C- O5 T/ e& i. j: f. t% M8 w
$ C+ t. a  v: t- C2 J# D3 ~那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。3 t- I& T9 b, _% k# I, J6 ~

- F- p/ f% `# X8 K$ p, i8 o
3 b7 p: [0 a* `* t* q" ]7 J, g
5 ], `# N$ \- S& h5 q& G1 e) n得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
5 @3 K2 }( W, }7 _, d$ b' N 9 p6 F7 J& C$ L# d( s5 }
http://localhost/admin/Editor/aspx/style.aspx
- z8 }- e# ~+ ~( J1 T5 w是无法进入的,会带你到首页,要使用这个页面有两个条件:
" L8 ?  q2 Y3 ?; H) H1.身份为管理员并且已经登录。( c1 W; ?$ ~# z* l, q
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
4 L- z9 q' v9 |  ~" @5 {3 R9 z
8 d) E, _3 ?% Z/ N9 H- ]# Q现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:; v8 q( |' r& \
7 o0 T) o4 Q! F4 Z2 T0 ~
http://localhost/admin/Editor/aspx/style.aspx
5 @$ z5 N! @! h+ c剩下的提权应该大家都会了。1 P0 X% G" t. F6 e! C- u4 W

; c2 M7 {  l, k$ d+ Q8 R之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
* a. C/ e2 Y' a) R- I
0 ?6 N. X& h4 Z! E8 c5 g
3 \! p' R+ H6 X- T
- O- P, w; s4 J* Z4 l7 i提供修复措施:
* `. \1 T8 R: V  C, a- l
- z* V) M1 \4 `3 D/ V& D1 ?加强过滤
% Q/ K: E9 W  Q% D7 m1 ^1 S6 x4 R5 T* _) e) z4 c) w





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2