中国网络渗透测试联盟
标题:
千博企业网站管理系统注入0day&GetShell
[打印本页]
作者:
admin
时间:
2013-1-26 17:55
标题:
千博企业网站管理系统注入0day&GetShell
千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
9 y/ I Y% J8 |2 E" D- O
1 R* y e' `! {. ?( U& @* y
' h) J# p4 i3 `0 c% T$ G* A
+ r C7 m$ X% a4 @1 [
, @8 i" {1 \$ R
漏洞名称:千博企业网站管理系统SQL注入
% `& a8 R# R, F" U
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
7 |# T$ J3 C+ X$ L2 J6 K
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
, ?9 C e3 g; R. u3 X
漏洞验证:
$ ?' b) a4 C8 t2 z; _" I
0 }) V/ C$ Z# V2 W
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
! E% }9 ?* ? I8 b6 K( \( }) M
访问
http://www.xxx.com/Search.Aspx?sid=2&keyword=%'
and '%Jarett%'='%sb,返回为空
& G' e$ j# _, D3 b
; i" e; I+ {! ?2 [( s
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
: I. ~% o! ~ U2 l6 J$ i. r
* ?) i7 E4 _- }1 }
0 ^& J# R* \) ?0 Y4 J* b0 e
4 |7 P0 _5 N0 n, m* U5 u$ ~
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
9 n" ?. n5 [7 \ t2 U
( u0 ]0 T* v9 t3 h9 E5 \
http://localhost/admin/Editor/aspx/style.aspx
3 N9 Y, R( _+ c- }/ n
是无法进入的,会带你到首页,要使用这个页面有两个条件:
6 H; t0 K" D F
1.身份为管理员并且已经登录。
% t- P0 n) s. e; a
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
* D: W X# Y5 m. S7 e' {0 G
8 F0 L3 _. e2 [" N
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
7 M- L5 u; t9 \" B' T! l7 c( T
) A+ C5 Z' T* w& a* a
http://localhost/admin/Editor/aspx/style.aspx
- M3 c7 [* M# j, d( g1 F
剩下的提权应该大家都会了。
9 [3 Y. h( _6 S5 r( J' u, z# N& M
9 p& m* r |% }
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
) Z }2 ?% F, r# K% O# j' B
& C" ]) g0 B" c* E6 P; V) l
) Y0 _9 ? ~3 c8 T; Z
7 c+ T7 X( m, E" q1 n% `
提供修复措施:
' W- a, r/ z: h7 U, M" B9 l# l- ]
: x) `: Y8 N& A* b; c
加强过滤
: e/ C4 }+ S2 Q. D
3 n7 p! S' P% T$ O" m
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2