千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
: L* ^6 z& v7 [! y$ z
' j7 c% l, ^: t/ |( j4 U. I : B! W |, A- b
2 _$ x4 {: u' @ 9 f' S' W# h5 `2 M& P
漏洞名称:千博企业网站管理系统SQL注入2 q+ b- Y% n, t( H4 a
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
0 t+ ~4 W! E5 Y5 e% e+ N& u漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
: C5 _7 m& j/ l2 }漏洞验证:
1 M; ^) a4 Z2 P, x2 V' @ $ @4 ~* o2 A' t# q. J# r3 c5 ]
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容% o# S6 m% _" m# ~; |; b
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空: |' o! l8 O' a
2 P! r% y; q: G那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
8 [, i& e5 j$ L% T9 X5 j4 N# A
' @ N9 M; [ I3 V$ O D $ I3 }7 p7 l. K* |
' T' \& D4 j& r' I6 s" h* Y4 ^* @4 o得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
8 b6 M4 d7 X# F# V! @: c
5 l$ S2 H: a' Q2 u5 S8 Vhttp://localhost/admin/Editor/aspx/style.aspx* Q% Q3 W0 d$ e4 f
是无法进入的,会带你到首页,要使用这个页面有两个条件:4 T& Q9 A9 c8 K. `+ ^. n# _+ x- R
1.身份为管理员并且已经登录。& e. O8 ?1 t9 R( A$ j! b
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/; U4 I% v" X" n: t( B- P
7 x. `$ @2 _6 l9 h5 L现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
: _0 d" t/ Z2 L' q % t, Z, P0 G- F: v) d R
http://localhost/admin/Editor/aspx/style.aspx! G2 R3 s( {4 t$ l3 I0 c8 X6 {# y4 Y# _9 c
剩下的提权应该大家都会了。
" k0 m p' }4 f( m+ q! x # S" }* T& _! v ?0 m2 f$ ?7 W
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
N; U" `5 a6 X0 X+ j- K
& J7 Z6 x) Q+ h: ]
; H4 \! \6 \0 W7 V
2 _. Q7 S- Z: u提供修复措施:* z, T |* e" d$ Z) Y5 f
; U2 S2 W( d" M2 `4 `+ W' S
加强过滤
. S9 i' l; u2 B$ z1 {$ O8 b
" B1 ?6 D6 I/ ~9 l' Q |
发表于 2013-1-26 17:55:20
收藏
支持
反对