千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。# Z% M5 _9 q' }0 R
( \! l$ A$ p( K x# i8 k
: r% Q& T) G* L; n3 F0 ]
- e# z) E3 s O' D
0 P* d7 |) a0 t* A( W漏洞名称:千博企业网站管理系统SQL注入
& |) f# p: H' u7 q0 x测试版本:千博企业网站管理系统单语标准版 V2011 Build0608, {+ G& [+ M J2 D o: D
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
& m. m" k" c* q: s1 ^" l9 ?漏洞验证:9 V5 r8 Z+ ]/ a L# u
9 e8 M8 q; N& Y) X访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
5 q" S, G7 L" Z; T1 S& b& S0 m2 f" @访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
1 C5 {, h. B- L- N* \) q 3 p. V' ?) g, W
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。* `7 x! m8 w0 @0 |- t
5 g' O& U& |3 h ; l; s0 c: E& q: P
, R4 b# F) Q3 D; C& I' K; s+ |得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
6 m, h+ m4 k% G. W' k) Y! d 8 A. D8 G0 E' p. x8 a, |/ [6 G
http://localhost/admin/Editor/aspx/style.aspx
# a% l) k0 e) ]9 G7 R是无法进入的,会带你到首页,要使用这个页面有两个条件:
' Q$ `; ]5 a9 Z7 n" Y1 v1.身份为管理员并且已经登录。! `7 l) _; c- B& ^
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
8 J: y; w6 U& N* Y7 a1 J2 n) j
1 z ]! j4 {; y' b; ]3 s现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
) z3 ]8 N( h5 A 1 L2 W, H. C2 ~
http://localhost/admin/Editor/aspx/style.aspx0 N+ O. ^* b) R% d1 U
剩下的提权应该大家都会了。
# `' y7 |' O1 X' @; ]2 d
1 c. \ i, B5 }5 g$ y之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
7 i0 H" ~1 ~$ v2 i! N$ A0 a C W# F+ L& `# v/ c3 _# V
6 ?, k& g' Y P) ]( s
6 j# V6 n9 `( m+ @0 [
提供修复措施:- |! C9 f+ j# {- H
, v/ W0 L5 Q+ c W加强过滤
5 x( y+ W, F9 x; f& l5 Z. k7 Q, O* G0 H; {
|
发表于 2013-1-26 17:55:20
收藏
支持
反对