中国网络渗透测试联盟

标题: 千博企业网站管理系统注入0day&GetShell [打印本页]
作者: admin    时间: 2013-1-26 17:55
标题: 千博企业网站管理系统注入0day&GetShell
千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。. q+ s2 {" r- d3 ?+ {; @: a- G3 o

+ G, o% O2 p* ~6 C' x  z6 I
( X: F- j- u  c 8 M; i) D; c" Q: _- z

% ^) \9 p, M# s7 g8 `/ Z4 X漏洞名称:千博企业网站管理系统SQL注入
) ]+ p2 z2 h% M3 s测试版本:千博企业网站管理系统单语标准版 V2011 Build0608% q, s/ y: \; [6 {' F, J) S  D
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
6 C& s3 w; ~1 M0 o" h+ h漏洞验证:" Z9 ]! S, \: y, W) w, K
6 m' F  y' r7 O* [7 A' r* ?! `
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
! b% W2 m0 F8 `' b( G2 j访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
5 ^* ?4 j# J3 \5 M: k
* K7 o6 N9 K: Q& T" V/ a那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
" r, a2 t6 T1 l% I- O 9 Z, P) W  b* V2 n* r0 X2 m+ W5 y
5 h0 N9 M; Y6 I7 w* l3 l+ Z

; n( _/ S7 h5 U得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
, C" d3 l4 D9 o3 }3 a  a ! O1 A: @' a' p* @; y: O
http://localhost/admin/Editor/aspx/style.aspx% H, }/ Q; G0 d6 Z( S, s' E* i
是无法进入的,会带你到首页,要使用这个页面有两个条件:
, Y6 _! ]' L" J1.身份为管理员并且已经登录。
1 _( k) v9 x! g1 O) p7 c& \1 T2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/- l- b  g% Q4 g+ e

" I. [3 _/ O# d& h现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
4 A' {8 v7 }& L' z  b0 l$ x3 h. t# W4 W
$ T: g0 O1 Q& H/ vhttp://localhost/admin/Editor/aspx/style.aspx1 e% I+ z4 ~) X7 T. n( L
剩下的提权应该大家都会了。
( \; ~1 e: h+ }- | ) R4 L$ T; M/ n+ C9 E
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
+ k1 B# Q  ]: F8 ]2 B" P3 v
5 B- m9 e2 g6 z" [8 u
: X  c  Z1 {# o+ b: F) {1 u7 [
$ U( R4 x0 i" u9 I- Z提供修复措施:4 ?$ O& o. H0 D: f: |' [/ K
: l1 O" S0 p! w8 N6 A5 U
加强过滤
/ y) x8 I% n2 s% v+ Q, h0 e9 ~




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2