千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
2 T2 [9 T2 O8 d8 i" B, Y! O$ L2 v* r# V- D" v; s' V
) I3 \' ~+ N* K2 v' l) K
) D6 H. ]9 N* ?3 ^% U
6 t R% {" ?$ z' c漏洞名称:千博企业网站管理系统SQL注入, D. u. s# Q9 d+ a1 q$ w+ U+ m, y
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
, M4 v& K( @3 R; `5 N: K6 |漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
" [( f% F6 f0 _! z漏洞验证:/ ?% H0 f T6 D X, ?. y/ B
# g8 b4 K. {% j+ s' T访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
9 Y/ [% M- c" t; R3 b+ f+ Y' z访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空0 b) [! Z; W X/ G9 i: ]
( i% Q) b% k2 b( A0 y# |那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
# b2 ^5 }+ a( b# z - N8 g1 @" |1 K3 G
1 @# Z3 m2 Q, H0 i
- ]5 z" `- |0 [6 o得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:/ R6 u0 v" s$ @% U9 F9 l8 e: f
8 D4 U' A4 s" b2 H" }" Rhttp://localhost/admin/Editor/aspx/style.aspx
& n: a% Z! u3 V是无法进入的,会带你到首页,要使用这个页面有两个条件:
7 x, y6 ^5 X) r; g( M# A( a0 s1.身份为管理员并且已经登录。& F4 l# p& g" G, t$ P
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/3 `; ^& `; s; e
5 I, B/ q9 e, o5 y0 O/ x8 Y
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
' h1 A, o+ q; a. M# F! c) ?) L $ N+ G: M! S; O% c
http://localhost/admin/Editor/aspx/style.aspx
- a6 k2 t L7 }8 f剩下的提权应该大家都会了。
8 F; l( H! `1 Z. d; E0 H- } v+ R K. d4 C6 E; ~7 Z: U1 T
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 0 E1 m1 b- N% d
i, D3 |+ Q+ I6 I' }$ w. N% Q 3 o/ ?' d# B: z. z0 P
5 H% r/ N* U" w `+ @4 e
提供修复措施:9 V5 c2 n( [$ o1 w
. V K$ e1 j& c6 T4 |加强过滤2 R8 Q3 p' @4 Q! w$ u+ V
, q' {% L; M- X2 N% | |
发表于 2013-1-26 17:55:20
收藏
支持
反对