千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。9 m" O1 S5 J! B Q1 {8 L4 {% f
+ F( u9 m9 Z6 {- E2 p: } & Q3 ]( d. y$ c2 S. E* ^
9 L: U0 y! a+ B; X. W# c6 o- e
$ o2 Y; A) J# K( Q+ p' }漏洞名称:千博企业网站管理系统SQL注入/ k0 e u7 H8 J1 C1 G5 Q0 @& U; T. U5 q
测试版本:千博企业网站管理系统单语标准版 V2011 Build06087 Y2 T2 M! `% t( e& Z2 ^2 m8 I
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
; U$ m2 M6 p. u- m# x漏洞验证:' \3 k1 R; J. y% a3 t. |/ z
+ `& {5 i7 `* n访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
9 J. z( D) @$ B% Z7 G+ `5 |% o访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
2 B" {, y. M2 A; ~7 X
+ m* K+ u. ]& }8 \; G, a8 z那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。! }& V) {, e I; M; j6 Y/ s" i
1 }+ B- { q' T3 P3 I6 h
1 C, h" S9 C/ Q7 L; Y
7 }0 g6 u+ _5 {8 a得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
8 g- n5 c& j8 U: P/ x- ]$ R/ H" Q
8 j9 s, \" c% j2 lhttp://localhost/admin/Editor/aspx/style.aspx" g* T: `% J) W0 R/ C1 ]1 |
是无法进入的,会带你到首页,要使用这个页面有两个条件:" `9 k% h2 J" y. J) N c, H0 z" O
1.身份为管理员并且已经登录。
. `; q! i e3 j v2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/) x" f; P" j7 \+ f2 _0 ~+ o" g
' p }1 g: ^3 Y E0 A% M现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
9 c9 [' H* `- u
- [" _) L# c" `http://localhost/admin/Editor/aspx/style.aspx. _2 v( s: ^& W9 l0 I7 y
剩下的提权应该大家都会了。* T) {- a& Y; ?5 }
4 f% X9 S6 g8 S" h之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 , G; |( u* I3 ^& S
+ i" ^& Y, ~7 ?' @ ' A, n/ U/ Q K5 e' V2 J
* |8 r0 D% B4 p8 V" T% w提供修复措施:
- b6 j; k! L; O2 F# C
# k) p. ?- o; Z7 g* A+ j, x) N加强过滤
$ ?& k# O( L k! T, U6 ^' l& h( p6 Z+ ~
|
发表于 2013-1-26 17:55:20
收藏
支持
反对