中国网络渗透测试联盟

标题: 千博企业网站管理系统注入0day&GetShell [打印本页]

---

作者: admin    时间: 2013-1-26 17:55
标题: 千博企业网站管理系统注入0day&GetShell
千博企业网站管理系统是一套比较常见的企业网站管理系统，很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的，就是说很多东西是放进DLL里面的，因此给查看源代码带来了难度。漏洞出现的版本是2011版的了，网上挺多的，其实想要说的重点是在后面的GetShell，很有技巧。

+ ~" {$ J! a5 l, w# b, A


" u  H( o1 }' F- c9 _4 @漏洞名称：千博企业网站管理系统SQL注入
8 z* m# I4 J% ~测试版本：千博企业网站管理系统单语标准版 V2011 Build0608
漏洞详情：由于搜索处未对输入进行过滤，导致SQL注入。出现漏洞的文件名是：Search.Aspx。
& `' ?0 n8 e' T0 W& q) L0 k" [5 T* {漏洞验证：

访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb，返回为空
7 Z/ Q* C- O5 T/ e& i. j: f. t% M8 w
$ C+ t. a  v: t- C2 J# D3 ~那么就是存在注入了，不过可能无法直接union出来，要折半查找，慢慢手工刷吧，不一会儿，就刷到你脑残了。

- F- p/ f% `# X8 K$ p, i8 o
3 b7 p: [0 a* `* t* q" ]7 J, g
5 ], `# N$ \- S& h5 q& G1 e) n得到密码以后一般直接加个admin目录就是后台了，不出意外的话，而且进入了后台以后，不出意外的话，你是无法GetShell的，但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor，但是无法直接利用，已经经过二次DLL封装处理的了。直接访问:
5 @3 K2 }( W, }7 _, d$ b' N
http://localhost/admin/Editor/aspx/style.aspx
- z8 }- e# ~+ ~( J1 T5 w是无法进入的，会带你到首页，要使用这个页面有两个条件：
" L8 ?  q2 Y3 ?; H) H1.身份为管理员并且已经登录。
2.访问地址来源为后台地址，也就是请求中必须带上refer:http://localhost/admin/
4 L- z9 q' v9 |  ~" @5 {3 R9 z
8 d) E, _3 ?% Z/ N9 H- ]# Q现在我们第一个条件已经有了，只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口：

http://localhost/admin/Editor/aspx/style.aspx
5 @$ z5 N! @! h+ c剩下的提权应该大家都会了。

; c2 M7 {  l, k$ d+ Q8 R之所以发出来是因为这个提权方式真的很特别，如果不是本地测试偶然发现，我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
* a. C/ e2 Y' a) R- I
0 ?6 N. X& h4 Z! E8 c5 g
3 \! p' R+ H6 X- T
- O- P, w; s4 J* Z4 l7 i提供修复措施：
* `. \1 T8 R: V  C, a- l
- z* V) M1 \4 `3 D/ V& D1 ?加强过滤
% Q/ K: E9 W  Q% D7 m

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2