0 U& C5 t- A6 h1 y+ ` # R* P$ M# `( m7 l' L0 l ' X5 b$ x r8 m0 Z. o D& {
漏洞名称:千博企业网站管理系统SQL注入$ F* ~5 T1 ]5 w
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608 ( g) F5 m; [6 @; K漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。 ; @0 T3 g6 M) p- z U5 Y4 J' Z漏洞验证:# s8 D$ i7 A% D. z+ s
}; W' k5 h/ F7 F6 c3 B% M访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容+ S/ ~9 N8 s9 x% a- x/ l' F ` Y
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空1 y& G3 M* h- _7 q' @
7 a; Z' Z9 I( K7 I" P" B
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。 - J A3 w+ l6 r 5 F9 Q9 P$ p0 C; z% i * |1 S; E( B6 F! @4 X . d# U: `" P( R得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:/ l. U; Z; f/ `9 t& g, C" j$ r
6 w4 A4 s$ w3 }+ Zhttp://localhost/admin/Editor/aspx/style.aspx, S p. z4 M' ?( W C
是无法进入的,会带你到首页,要使用这个页面有两个条件:" ~' n9 k" L9 P( M
1.身份为管理员并且已经登录。 % u, L) o |+ e- E+ g/ E, Z2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/ 3 {/ n4 h) g( a j* G( i % a8 l' W9 }2 G3 k6 z
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:: [, ?3 \1 s. t7 D) m: E
7 C% c$ G8 n* j9 \; i. P* Y# Phttp://localhost/admin/Editor/aspx/style.aspx + p8 ^* }7 D( i) F剩下的提权应该大家都会了。 U( \. H4 [$ v; Q; q 0 N0 H J4 W1 S' T- E4 z& c5 l
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 ! j3 J2 C* A, i4 K) F% f ! W( R. K! o$ B5 D $ [4 o9 A; W' U$ {" o6 ]: w
* o; i- H ^6 ?提供修复措施:) P9 |- W2 J3 F, F' C4 k
. k5 G( s' x: r9 [
加强过滤+ n" }* ~% x' h# ~1 e, T2 m