千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
! ?5 i' A4 J8 g- I; h
, C' S1 ?& r6 y3 d3 J' {
* V+ q, p5 n R1 e6 C, E3 ? 5 G' x4 M- J. g A R9 _2 I
) p1 q3 T7 I9 w/ E3 x' ^
漏洞名称:千博企业网站管理系统SQL注入4 `( K/ \% Y$ @7 r/ n1 `; W
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608# M \+ e0 @9 r1 w% h
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
5 c+ V( T! Q- B9 s; ?漏洞验证:
# v4 I5 S, M" o
) \2 E0 r. `) {/ o5 _5 `; Y, S; O访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容& B. F- H2 p$ Q- N9 e" i
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
% Y+ d& q9 t% w6 C0 w, M- x 3 @2 D5 u( [* @: S
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。- d$ V2 \) Y: a- H
/ j; r7 v6 j4 C/ F% Z5 Q7 N) r
5 t/ h8 U0 T: K* a 0 |6 }, O$ |- J: m& G2 o9 B
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
" k! u; v, ?) e o: B2 a- B. k+ R 7 N6 y" {* J' x$ e; p c+ x4 @
http://localhost/admin/Editor/aspx/style.aspx
- Y8 ^' [7 a4 Q! Y$ Q) a+ ^! |( [" N是无法进入的,会带你到首页,要使用这个页面有两个条件:$ E1 G4 k# m* b: d# z/ Y
1.身份为管理员并且已经登录。. }6 c* o7 Y! F" s/ g
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/* x5 ]+ R: s- k
3 K5 @$ D( R. e- Q, o5 h现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
: T" S$ w8 v% E
, m! Q1 ?- V/ _' ~% fhttp://localhost/admin/Editor/aspx/style.aspx
% M" H- ~4 Y0 t( t剩下的提权应该大家都会了。) o( d$ ?2 @* M. ?( h/ O
, t6 y* V1 V6 W之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
2 ~7 \6 z0 }9 V H; z9 M5 E/ }$ Z/ E: B2 T- l
$ M4 Z% ^+ ^; M
8 S I% _+ S* m) d- [
提供修复措施:
! n+ t/ i. i7 \- p- {* O# [/ q; ]6 i3 ]* w1 y8 }$ M/ g& B: N
加强过滤
6 A6 h5 |6 ^8 Y1 F! M+ `+ }9 ?2 i3 f7 o
|
发表于 2013-1-26 17:55:20
收藏
支持
反对