千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。 H$ N, S3 U7 [( M- @. W% }
; q# D7 V/ u; e2 l
& U6 O, b& g5 M8 X+ z2 A/ f
+ S$ h K1 @% b1 }. ]
6 K: [8 e9 q3 ^9 ^+ W$ o: ?* S8 V漏洞名称:千博企业网站管理系统SQL注入- _, X* d* \) p7 Q0 c
测试版本:千博企业网站管理系统单语标准版 V2011 Build06082 \' n' v9 I& ]! U' @
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。1 W. @. U- b6 ]& Z+ I
漏洞验证:
" |, i* O- p5 j4 o4 c Y8 z 8 n0 A. M/ ?1 i/ x- }; g
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
* w. m5 N5 t9 ?访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
* Y. }: A* _( A) X$ {* U* ?/ d
( w: n+ h6 X6 B4 r那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
8 M" ~+ ]1 X* c; j8 j" P ( G% D9 i5 d: _$ A& `* B8 W' d/ e# _
! @* @6 F4 B. D9 T- F, g
4 Z4 ?( ?3 D4 e7 U: B+ P" N+ |) Q得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:! X$ F9 N# K' K* }( w# `# v
( S! r1 x+ l* U1 U" Y" ~6 [2 C% ?
http://localhost/admin/Editor/aspx/style.aspx* L* e4 G0 G/ h
是无法进入的,会带你到首页,要使用这个页面有两个条件:
$ E7 c0 r1 D1 a5 {* |: t1.身份为管理员并且已经登录。5 v1 Y9 ]0 L' V# w
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/9 }7 p- s8 M! U8 ]# N2 y/ n( O
5 y# u9 M" V# W1 T现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:( ? [1 ?8 r' x# u g+ ~7 L
8 D5 }4 R" p1 [3 Y3 ]
http://localhost/admin/Editor/aspx/style.aspx* R3 B7 X0 m: u$ N5 H
剩下的提权应该大家都会了。
5 T1 j* b8 K" g6 o3 `4 f
) `: v6 q! X, O7 _之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
6 A6 q+ W' q6 o1 u) U |) O3 g4 U1 P4 Q" r- f% o3 s0 {8 a4 B, y" y
! J& w w0 H5 Q* B: I& `# R2 a
3 L5 v' Q9 T% r0 s1 y" e6 P提供修复措施:
8 C$ D; J# G% h* p2 l$ I% w! Z0 P! t2 s) v C8 o5 y
加强过滤
3 Y# Y1 f# j/ S/ F' r9 D0 j0 Z/ |5 a
4 g! a$ D4 P0 h- m; s |
发表于 2013-1-26 17:55:20
收藏
支持
反对