中国网络渗透测试联盟

标题: 千博企业网站管理系统注入0day&GetShell [打印本页]

作者: admin    时间: 2013-1-26 17:55
标题: 千博企业网站管理系统注入0day&GetShell
千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
& F/ P, K" h9 p0 K
$ w1 e1 B, ~1 H. @. K 5 K, j4 h' w" C" V6 R: |: H
8 q! a6 f* q3 H
) K* i9 z9 `7 Z. U% o& E1 N
漏洞名称:千博企业网站管理系统SQL注入
5 c0 F: ?; D) q& e/ E' E测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
3 S5 V* [: _% z( Q( I' j) G* ?) N漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
' t1 J9 R" K8 b: O" `" N漏洞验证:7 C$ O3 f( M$ f4 Q* ?" R7 }# j

/ B$ I2 N3 o& r( d! [* l访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容) o( t# g0 M- V+ Z
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空8 ^, j" R8 P- v6 V& ]& _
. ^9 o4 D) k+ M7 B; W
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。$ c- q( F- H$ ^

; N( N3 W/ G( F- T( l & U9 ~' j- D. i' i7 W$ q8 G6 u

0 g: C3 p; D6 R/ M/ ]得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
2 @$ ?  u9 B9 ` 9 C& x. B- R# F6 Y1 Q" R5 Q- e
http://localhost/admin/Editor/aspx/style.aspx
) a0 l/ C8 N6 r9 |是无法进入的,会带你到首页,要使用这个页面有两个条件:2 C9 V- \4 H( }& r: y' U5 p
1.身份为管理员并且已经登录。6 F* X, k& c% [" Y& `
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/) Q/ F! ]  O9 G8 L2 i& n
& L5 B. n/ p: g$ l
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
+ @! C1 n" k8 h- f; `
, q" M" Y0 ]: a5 k) C4 |/ k( K2 U/ ohttp://localhost/admin/Editor/aspx/style.aspx3 b' h2 T$ _& E! j) t6 X4 w7 n
剩下的提权应该大家都会了。' H& V4 z. r8 w; A2 c

) {; j. o3 t$ c; `6 c之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 ! @4 [5 \8 b; W* h) w3 C' q

6 H" P1 o6 h/ p' E
5 A( f; Z  b( Z+ i3 t) F
/ v% J, \. M( C, U提供修复措施:
: o$ R6 _6 d! a5 Y4 a/ [- J9 E( H# P) [7 m) Y
加强过滤
/ |0 Q: k0 r  m1 Y; l$ y- g2 `8 V, Y  I





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2