千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。 U4 V! j; V' ~$ g& d0 |
6 l/ ^3 x! d2 Y N8 \3 x
& y+ [5 ^/ z- M5 N- M
3 F, P9 ~* C: }1 b) X/ o$ J + s1 x4 l% `) P! h3 v
漏洞名称:千博企业网站管理系统SQL注入
5 H$ H1 P+ K! G3 T1 I测试版本:千博企业网站管理系统单语标准版 V2011 Build0608: V. a, v5 v; Y; T
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。: A: L/ C1 _* V& F, T# p0 l x$ f4 _! N
漏洞验证:4 z% _; L' T, i x2 l, P7 B* o. s
" x2 R" K. l. ^1 J
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容5 G# w% G v% Z8 B6 X
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
( ]/ w' l# ^) L
$ ^5 l2 [! V+ B那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。& `3 @% y5 Z' M/ ?6 E+ S5 n; E% q
" l- }7 d* T! C9 o, n+ w/ W% ]
, z. N* ^6 r+ \1 g k5 N c8 M
' V2 e* \' t0 |4 V5 A得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:3 T/ j2 b3 K* X4 H5 y6 B
, X O" q: {2 X- w
http://localhost/admin/Editor/aspx/style.aspx
( X3 Y0 g; w* a8 Q' ~是无法进入的,会带你到首页,要使用这个页面有两个条件:
' G5 d* g2 Q3 d; X% E3 K, v: b2 {1.身份为管理员并且已经登录。
3 E4 S' r2 v( l* L6 U; w2 k6 k2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
2 [6 F- L, ]2 c- V; Y; {. w
& Y: G! ^9 e; x& c' K. y) q4 D现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:+ b6 l4 w% F/ q p2 c
" n9 @, U1 r2 p. U. \9 q$ E1 z
http://localhost/admin/Editor/aspx/style.aspx, A5 \/ U+ u$ F
剩下的提权应该大家都会了。
; ?. m* \; h8 T; U6 R
5 V t% ?) A L) F Y/ O6 O% q之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 5 Y" p. ~% U" @
: g& x- z3 J8 u3 y0 J7 D 5 l+ b. d6 i0 n+ g2 h
& H, J% v6 ~7 l2 [
提供修复措施:& _* g* I7 H. Q* ]5 k
% Y, @0 {0 N' v* I% ~+ [
加强过滤7 L' n1 C5 Z6 p1 P6 L
$ j/ i6 J6 `; X) h6 R, ~& g
|
发表于 2013-1-26 17:55:20
收藏
支持
反对