千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
0 f" Z L" w e! S, T+ ?+ t, b
3 O" e k- T. ~4 a + i4 c8 U: C' i- e8 c. M
( a+ k# Q1 V0 X+ c! O
9 E) w4 q) Z. t. q1 x; G漏洞名称:千博企业网站管理系统SQL注入
# m3 h& O2 V5 ]4 O测试版本:千博企业网站管理系统单语标准版 V2011 Build06082 P6 j3 E0 e% }+ b" ^7 S
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。4 {9 b0 ~& ]" u, p$ j
漏洞验证:
: V. t# p S) e2 R
. R2 ]! b+ Q5 G7 s访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容2 N1 |! G2 B4 N# J+ z
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空5 b2 p# g0 [0 y1 f+ o3 S' p; k
- A0 v) C* d( o% ~1 `- U3 H" ^
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
9 m$ r5 t* c' | / B' q* {6 [: B+ X( H7 p
5 h) f: H/ X3 a3 |" |( {2 D ' z$ ^$ Z2 }/ W. b7 ^& V& X& k) b& C
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
7 e: ^5 [6 |: h& E
; G' ~4 f- f. f+ i, t& q1 \, Fhttp://localhost/admin/Editor/aspx/style.aspx
3 K$ Z! {# B% ]- O是无法进入的,会带你到首页,要使用这个页面有两个条件:
8 K8 t( z% d) y8 Y2 B! F1.身份为管理员并且已经登录。* ^; V/ T: B/ o! n5 R6 W- z
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
6 G3 P+ K2 m( X6 d3 d8 q: c% |3 k 7 Y: U4 x$ j9 S' d0 T# Q
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
# X6 h' D8 t* q: Z 9 B- F+ X4 ^/ x! b% j
http://localhost/admin/Editor/aspx/style.aspx) G j1 {% ^, V
剩下的提权应该大家都会了。# {2 A4 l- q( }/ g6 I, e
: } P9 ~* _) B8 w$ N8 l
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 7 }) _8 a; U& I6 b
" W# `+ K3 D2 R4 I- t4 g+ \
4 {" w0 V; f7 t9 Q/ C% H1 O' E# m+ S! H C' t* a
提供修复措施:- v9 T. O# r$ |8 E5 l$ y
" [/ `) U- L; w9 y* {0 b4 m5 O加强过滤
: V: P& Z1 d- P; N J6 x# W# Y/ R% c
6 W0 p; M* a" l+ [' _4 w7 p |
发表于 2013-1-26 17:55:20
收藏
支持
反对