千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
7 A7 Z+ i5 ]' K3 |5 n( n8 ]5 F5 u
4 M9 _# V1 j, K( k' {- C1 b
) u( S& e4 f) k. U# g/ G
) u& y& K/ {" _- b, K
漏洞名称:千博企业网站管理系统SQL注入
" K: k: W- F% D: K2 u4 y测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
0 _/ N3 m7 x+ j7 Q漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。9 q3 O0 q7 q3 }# p$ U {- A* m
漏洞验证:
! ^- T j: z) ?+ k- Z
1 W; ~7 t5 r6 I% [访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
7 @% K4 c6 N+ U5 m# |+ a访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空0 i3 C$ A7 n8 ?5 q% V" K8 C
6 B) ]- w1 \& i- b3 c+ E
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。+ l* a5 K! P$ Q( p6 R
1 H% Y4 J% n+ B" |- t+ z; y
! n( b& E3 Y* e& r
6 Q" i2 u/ t6 ]$ Q7 L! m) Q得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
' G+ Y t* |2 l% A' b) Q+ W 3 o1 K- J& {3 y4 c z, G9 r0 v
http://localhost/admin/Editor/aspx/style.aspx
5 E+ t, D3 ]2 V" s7 |' _: P4 Y是无法进入的,会带你到首页,要使用这个页面有两个条件:9 k1 }( p, p% g( E, H- w1 J. T
1.身份为管理员并且已经登录。
2 z7 g5 a( Y" d. L Q$ M- ^, s2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/) _8 G3 n. F- j5 R. X3 x( d( Y
, ]9 B' r' c9 f9 O
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:" g) J3 N; r8 S, Z- _
* H0 S% s5 Q% i% R4 U" f
http://localhost/admin/Editor/aspx/style.aspx' e2 o) Y8 h8 G6 @2 ]; M
剩下的提权应该大家都会了。
. `4 Q% U/ {$ @$ N3 S7 b5 W6 n m5 j2 i
1 M" `- a4 N! }3 s/ q W, U& }之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
3 o) T: }" U( W# Z; r; B
7 A; ?3 \( s2 Y! j* N* }
! I' v3 Q5 x" m7 F" r
3 x( ^6 h2 q8 ^9 \% y/ C# V, B提供修复措施:7 D6 ]# b0 F9 v1 p
X# ^ J, [' ~" R9 U
加强过滤) N% D& H% G: `( X; x
" G$ t* C0 e& T4 a6 }$ f! `7 B |
发表于 2013-1-26 17:55:20
收藏
支持
反对