千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。& q# M" I2 x! C1 q3 C' }
! Y8 Y* p. K% z4 A- o" d
) f: C, F- [' G) r3 _+ \ 5 {1 G( ^( y: y3 ]- c/ b
! M% \$ F. _; d$ o% Y7 q漏洞名称:千博企业网站管理系统SQL注入
7 {; N$ V, C- X测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
' l$ n8 m3 Y( X+ H漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
2 E; w# \9 \" g5 a$ I3 [ O' F% D漏洞验证:! `9 z% H. P& a( {! P; r5 s
# T/ ^/ g# m2 H访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容5 k9 V0 W, m& ^$ i
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空2 P: e: n) B3 H K5 e
$ C5 }. y, h( J* c) M. k那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。0 I( B1 t$ I' t$ U8 B
1 T0 Y6 }1 c0 S) F
" W! _% n7 s1 n& g$ e 7 Q% l, C% `+ a5 n
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:7 |# p% J5 E0 o5 G+ j
$ r! F4 L, e' r1 h C9 t
http://localhost/admin/Editor/aspx/style.aspx: y+ L3 B/ z s+ u
是无法进入的,会带你到首页,要使用这个页面有两个条件:4 v; Q1 y$ t& X: I
1.身份为管理员并且已经登录。3 X7 U7 X1 O: k ]4 i
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/! o3 \3 y+ Y' k
2 ]' _# H5 {& N现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
1 x7 i& t% T7 K' L8 g0 Y - o# `0 C. w- o* U/ b0 ~/ f
http://localhost/admin/Editor/aspx/style.aspx
0 ]7 T! t( V$ ?% t" R剩下的提权应该大家都会了。
" ~8 Z4 l) U1 r& q + x+ t, H$ O+ ] W9 J
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 + \0 ]" \5 R, K5 Z0 R$ Z" W
* ~0 p8 R9 f! A1 }7 v+ F5 y
+ d" U u* d2 B% ?- ^
. P1 M g2 `' a( B/ w, _提供修复措施:+ x! f% V7 ]* e9 r4 x2 `
! D0 N( `# t5 P
加强过滤
$ @5 J. I2 [* u! ]+ n( z. q4 M4 x
6 s3 E+ q& ^! p3 W& b7 ^; U8 p |
发表于 2013-1-26 17:55:20
收藏
支持
反对