千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
9 _) [; ~. S! f" @& }' E' i
# r9 G, u) g3 o, @# l" n* o. n0 B 6 N4 k9 r, j" g: s5 w
" _ g9 n0 h4 g. E1 N
+ b( [' _: g# i3 P5 D6 p漏洞名称:千博企业网站管理系统SQL注入
- a& o+ Y" P& S2 i4 T4 p测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
' }* z+ _7 ]9 m: P" a6 V漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。+ \' i- {$ T3 b
漏洞验证:
" i3 h7 `3 S1 V
" E! |& [4 i6 j9 l" c8 ~访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
/ D) s( H8 n# e* A访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空' a! ^9 I' f& D2 K
3 y& c1 |$ s1 X: o8 R+ f1 m) {那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。8 @7 [* l9 v& R) f' Q& J" o
% j( ]% p- ], K0 m* F4 t
& [2 S7 n0 y$ u 7 S) [; W4 y, f! i
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:7 ?: X1 ]$ S" c4 ]5 H% E0 I
. m1 |: l# o) O0 @3 ]7 j
http://localhost/admin/Editor/aspx/style.aspx; l4 O: C$ b0 I2 X8 r1 m1 C
是无法进入的,会带你到首页,要使用这个页面有两个条件:
; k/ `0 Y# `7 A8 z0 t& `# ~% Y$ L1.身份为管理员并且已经登录。
1 a$ V+ I) W w% ? x2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/( t, B# l* X9 B E
. t' w' `7 j) `6 d( p5 I: W8 v
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:0 i f- w6 f9 \7 o+ w
( X' e, t& w; M' a2 X1 W4 c
http://localhost/admin/Editor/aspx/style.aspx; D3 p% s+ Z6 E S) f4 s
剩下的提权应该大家都会了。
( p$ R& [: f* g. } ; c5 q& y! d* \. ?1 l
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 / X* B& i5 R/ j
& V8 ?& g$ T8 O4 i" B; M3 p % a S" P( n- @! D+ g
$ P: a' d9 _+ A- \5 n
提供修复措施:3 g! o9 D! f) _0 l! r
, x8 T# Z/ a0 D加强过滤% o: ?' j0 j& I7 _4 [8 j/ @8 I3 s
r$ Y6 T4 V& X5 i& b b" S e
|