千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。$ L4 ~; x4 [7 R: B
' z3 A0 p+ y8 |1 k1 G7 [
2 Y& v) n: F+ a. u4 e 9 J; `9 j2 U j+ c# T7 u- Q U: O
7 e/ D0 \0 I! J( p$ f5 L
漏洞名称:千博企业网站管理系统SQL注入! L! X7 {" {' \* U* K: ~' ]* i
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
C4 @6 z# V* i* N; R9 Y+ F( n0 w漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。2 z; V+ M5 u* o8 }! B
漏洞验证:6 l @% z5 o# q
& W. I* @4 K& w4 W6 o |访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容: C& w5 A& |6 J
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空" | f; W0 ]5 a# b- I- J
; a7 U8 s! a+ h7 v4 |那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
" h( S8 n' m8 b }8 e 8 R3 l5 T% Y+ i9 V$ }8 L* }( C
8 g. Y: w" k4 U7 w
8 a2 m, o6 C! B7 ^2 ?得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
+ B& `$ k% }3 M" ` ) B& }; ]8 s1 I
http://localhost/admin/Editor/aspx/style.aspx' _9 x& F9 q5 B0 E% n6 @
是无法进入的,会带你到首页,要使用这个页面有两个条件:4 ^6 l6 c: n1 x1 J N
1.身份为管理员并且已经登录。' T$ f2 i ]) E8 n- K5 Z& l6 w6 Z6 j
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
# x3 }/ Y- l) p4 b
7 t" W @9 ?- n& s, X e; |0 D现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:) a: \/ h: v; h" q4 G7 y
' r" a' F. N% z0 b" D" G& |
http://localhost/admin/Editor/aspx/style.aspx
/ c9 `. Y |( z& l: a8 X% G" p剩下的提权应该大家都会了。
. j/ G |1 Z( j8 |- |' b5 m9 Y
+ f7 g# ?. p/ ?5 @3 E: U$ q之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 - H& l. W) ^5 a4 \
/ w* X* |* N# u% |, D 0 e$ B% B. E; K# W9 r
% p1 {8 S, g; t1 H" C7 W, i
提供修复措施:0 |9 l% D7 t4 g5 w$ [$ U8 K
% d F+ G! c* L; H: P
加强过滤0 I, y; z1 @1 e
# y0 `2 p- q/ x/ G |
发表于 2013-1-26 17:55:20
收藏
支持
反对