千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。3 G1 o% _ R2 P( W4 Y! p9 p
, ~3 O+ C* b$ v" W* {6 i5 J0 `
- c0 S7 f, o/ h7 r2 j) r
7 o2 `# C: T1 i1 J+ |& i
6 L& x' x2 @) P8 X$ t) X3 O, Z漏洞名称:千博企业网站管理系统SQL注入
& ~/ p# ^6 e9 S3 K3 ]+ S5 A测试版本:千博企业网站管理系统单语标准版 V2011 Build0608: I# @) L8 D; [' s$ ?
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
* O; ]" f! }% T& \6 |( d- U漏洞验证:
9 Q8 [6 ]) C0 F2 v 1 I+ ?5 h2 G, A) p3 B
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
) j5 }0 V$ n7 @5 d! \访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空( D, n; X7 G- N
+ o5 {; @1 _3 R2 N% E/ V
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。$ K- T+ G4 \& V. K
( C; \7 U$ u p9 c& w# X, B5 u9 O
5 h6 [6 _) d# H" i! n + l( i3 h+ T8 g7 e D, U
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:( A1 n( X# b' r* c% J
( \' G! a& r" zhttp://localhost/admin/Editor/aspx/style.aspx0 y+ w: [+ C! k f% [5 e
是无法进入的,会带你到首页,要使用这个页面有两个条件:# H. {: \5 d' s% Q9 b, z+ ?
1.身份为管理员并且已经登录。, e" M( u& d3 r: w0 F
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
% j: H7 f: ~0 }3 t* S; F ; b8 U) p+ |- m& r) k
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:" L% q: L2 @2 t5 K0 b
8 l$ E6 c+ h7 G7 F& C Qhttp://localhost/admin/Editor/aspx/style.aspx
) N; n9 S( c7 d9 G7 E9 S" Q剩下的提权应该大家都会了。
" `3 N* A% `, C, F
O* W) K6 k/ J5 f# H之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
& `4 }1 t* ?3 }+ A* I
9 @4 e# G) R/ y. S( s# t* R
& A5 E9 a$ y' ]; o' E; ^
' D8 W8 S8 f1 P8 d' w8 P8 L提供修复措施:8 n) t+ H+ f; H2 A9 x! L+ I" {, Y
+ F; I% t% B6 y; x8 y3 z0 Z% ?
加强过滤. h& I0 U: Z' q5 s# m* C& V1 P
5 t' d9 I) S: E' w( q3 V6 G* t5 T |
发表于 2013-1-26 17:55:20
收藏
支持
反对