千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
, A4 C; c# M" i0 E% A. ~4 I2 e
" v# }. a, c: s; C! B3 _ & o0 t' ?8 s& _) X, H5 m
! y4 s5 ^) D" Y0 B' Y
' B/ t# J! L+ D1 [. F- L6 t漏洞名称:千博企业网站管理系统SQL注入- L4 [1 V+ N0 X2 a& L
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
! Y- z a. [+ \1 h% F" n6 {漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
3 m" N, a; N. F; r& @漏洞验证: i0 |* }5 {3 O: ?) Z, N
, H7 [; D! k( W+ J. a/ w! @8 C% R访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容) a9 }& l% ]1 h T- b& m6 o
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
+ C7 o- n8 ? o0 q6 e4 J3 M+ G ' `. Z8 h5 Q5 G$ p) T
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
3 @" n6 Z. w3 j) T+ t* K
- O/ {; @9 g9 i9 ]
; l- h1 e5 b1 J
: S! S" J9 t0 Z得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
: a$ G! t: d! Q * W* F6 k" M9 l: ~! I
http://localhost/admin/Editor/aspx/style.aspx
9 C4 g5 ~( b) q0 v, C是无法进入的,会带你到首页,要使用这个页面有两个条件:8 g$ E% f$ p: l: ?$ `
1.身份为管理员并且已经登录。
( V9 v/ y1 Y1 \0 j* _* @6 K2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/+ }1 e; g$ ?- I2 s z& I7 f* v) n
" h7 R+ m3 G6 [3 E# R$ h2 M现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
- ^. N" k6 g' |/ n3 N' F
- d- F2 c6 ^1 x% V% i# L. R7 ihttp://localhost/admin/Editor/aspx/style.aspx3 ~; F& J" x1 A% q7 O% e9 s
剩下的提权应该大家都会了。
) D" C# U5 K2 F) h6 L% v& u " G, E: u$ q( ^' V
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
# \6 U9 w# U4 w5 ?, f, ], ]$ R0 E
* G& Y+ D& c% \, t0 D$ g , `* a4 _6 S) T4 @+ L
2 H" x0 z! l8 L8 H0 Y" i
提供修复措施:
2 T( J, Y! ~; s4 e$ o" o: E' P5 Z6 l: z( r" {
加强过滤
( f& b3 u& F% H# Q2 C9 h( H8 Z$ ^; _) \+ @% u; y2 X' A
|
发表于 2013-1-26 17:55:20
收藏
支持
反对