千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
& N- c( I' `7 j; C" l& r& g$ X* d& | U1 g. k$ Z
& c4 e2 D6 h3 w. }3 ?/ ]
! E, `2 f4 y: B' ], R \ / P5 k3 j) z7 k, E; G: u# b& J
漏洞名称:千博企业网站管理系统SQL注入& H6 P/ n7 g0 z4 t; }' N
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
C. b3 o. w; R# q漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
, j3 F/ W' x" d8 @# n7 M漏洞验证:0 H/ L( v/ h& Q7 ]3 H. [2 u% ~8 x$ `
7 L3 J% H$ n: b) i
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容$ ~4 |0 p; A0 w4 l5 X! n5 k) _7 y# B
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空; g' w6 `1 J, q
! X: Q$ V' k9 m" R% e' v
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
+ f2 K6 h3 V! w0 K" _# b0 Z" _6 \ 8 Q$ e3 b" ?2 T) {
6 ^5 u A, J3 K/ h
+ q z; Q8 f: E1 ]得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:3 j) L1 _. h& d1 t
0 ]- f/ h- Y: d: |# ^/ V7 shttp://localhost/admin/Editor/aspx/style.aspx; r4 t# f$ r& b4 E3 c0 Y
是无法进入的,会带你到首页,要使用这个页面有两个条件:4 \1 r$ _+ v( b6 K2 {5 N
1.身份为管理员并且已经登录。
4 X6 n: b1 K& U! [/ P% B& a2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
' q$ K- t ?* S' U' | 5 P2 V! U% N* X6 W: c8 {
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
7 |8 t: {1 G; H% Q! V3 b W3 H& |: M: r5 L+ Y g7 ]
http://localhost/admin/Editor/aspx/style.aspx. @$ C; [4 L ?' {1 ~* y: e
剩下的提权应该大家都会了。
3 n! F) a8 z& c1 f 5 K4 ]% l( ^7 H; c% _: H4 g- @
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 7 n% F" M0 P$ m
& F9 n, e2 d: T" \
5 s# L: D5 U- \
2 P Q5 M+ {0 F3 ~" {
提供修复措施:
* { x* E; y* i; |" v0 i
4 b, _9 I: t/ o: t4 e. \. u: q加强过滤
$ I; G' ^) _* p5 ]
* N+ _0 w7 z0 W& y$ C7 L, k |
发表于 2013-1-26 17:55:20
收藏
支持
反对