千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
9 i' S! ^/ k6 T/ d
1 l$ J- H8 [% J2 h5 A 5 @! A- z+ c9 k1 F! r
5 L5 |1 H- f4 C1 {% E
) B3 {! i4 d4 d+ J! {& x% n
漏洞名称:千博企业网站管理系统SQL注入+ W' I( R4 b2 |: B1 S! B3 b' j" l
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608+ n' U2 p; @/ D4 G0 b+ o
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
) U7 v9 ]' H4 U' a/ Q' ~- X9 A漏洞验证:% I4 d: W7 j+ p
/ R7 v+ q3 A- o
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容* |# h% X( A1 A; s! [
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空+ }+ }! c2 C0 o* x: B& t" X
* g2 y; {# ~0 v4 F" b9 V q
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。( B8 g! B, U5 t
' V2 N* w3 [, A# n7 G- z
3 R( I9 h' N$ \1 ~
/ L5 w4 q+ ^& K得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
& A9 Q; I% J! q* R: U# w. b" D/ h
3 v' G# K k+ a" N7 w+ F! yhttp://localhost/admin/Editor/aspx/style.aspx- g; b& B5 T" X$ g
是无法进入的,会带你到首页,要使用这个页面有两个条件:
. s! m: s' o) ~% I1.身份为管理员并且已经登录。, G8 U2 A1 L; u1 p
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin// b8 r/ V0 z6 G( M, f+ Y3 s1 ?$ W
& Z3 R# x6 X0 e7 e5 u F现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:+ M, T6 d/ F3 e& a! q
0 J7 o8 I) y' y) c% hhttp://localhost/admin/Editor/aspx/style.aspx6 s/ c4 i- l: q4 m; X+ A" c5 A" u
剩下的提权应该大家都会了。
2 j4 Q# ~$ y5 U, p, Y
/ n6 X+ ~- J) ~之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
3 Z$ ^( M) M# T8 X5 n
) C: o, q! `% B
; `* D) g5 O `9 z4 W9 X
! W. _8 I! {& h提供修复措施:7 k0 u5 k& I7 s" X. W2 `; [! G
1 T: v; U5 P9 r7 C, j9 p
加强过滤
9 i) S, x2 P# L: c0 \3 I; `. N/ p* v, J( f' e
|
发表于 2013-1-26 17:55:20
收藏
支持
反对