千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
& m& {9 F0 d, w+ `: X! ?' p* O8 K$ U( o% F7 a1 ?+ q2 U& v
9 f8 r; t5 | ?$ y3 y1 \6 h% l! I# w
% t% ?1 E! Y; U7 i + o U8 i: v. E; W2 z1 A
漏洞名称:千博企业网站管理系统SQL注入5 E% _: o, ~8 f, F2 N
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
7 `9 W3 S0 w. ~: t3 a漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
1 K1 b7 \/ c2 g/ i' a, G1 |1 S漏洞验证:' q* Q( c. o% a+ g# ?8 `. Q. G
: S, A" o8 v" U) o' o+ V
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
& w' L8 a* B. A4 Y7 d% X+ n' |访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
* b5 K( V; K( |6 c7 I$ J
! s4 {8 P, L9 l4 A( l5 {那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
5 f6 N6 X1 A# s" Q1 F% I
' M. F) P' S" Y( j- S
7 h" z7 U2 w% c% ?6 q
; n6 m$ y& w7 g4 p9 S得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
: D* i7 K9 A) x. y
" Y+ W1 J" a' [1 vhttp://localhost/admin/Editor/aspx/style.aspx
- n- K0 N/ n* u, h2 f" \! {是无法进入的,会带你到首页,要使用这个页面有两个条件:. g& z3 D* J- z* l6 D* }
1.身份为管理员并且已经登录。
0 x t! K6 Q* Q- T2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
- m( N5 P+ ~, S2 I1 n+ _& ]
9 j& L4 j5 Z. _2 A4 @7 U8 \7 P现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:9 P+ ~1 F& R3 W" M9 N
0 N: J$ N/ x, [2 s# ?/ xhttp://localhost/admin/Editor/aspx/style.aspx" ~5 l8 \7 Q5 M6 a1 j; {* N( p9 C& Q
剩下的提权应该大家都会了。
3 ~0 z4 N/ n" Q! s+ e. _/ ~. f D 3 x" W' w5 `2 v! O7 S9 p- a2 ?5 X
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 ) F5 ~/ h) M7 s
1 H. j: x# H5 Y$ [: F7 Q
" T+ G5 g5 A% {4 t
1 S& m' V6 E1 d% u1 l2 A3 q' O提供修复措施:4 g$ Q: E* g0 j0 {7 {
2 {- g' E7 G) t加强过滤
' N2 z6 R1 z5 z8 ?# V& F J9 J$ \: ?/ ]% q3 L% o% _) |
|
发表于 2013-1-26 17:55:20
收藏
支持
反对