千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
# |. s* ~4 Y+ q1 G- ~& ]9 m
: E0 a7 c, T6 g1 P# d; \: R
: ~3 \& D( |& L( M" a% A & G+ P1 C1 p m1 U* S
! [, l1 F: w, [ X+ I- u
漏洞名称:千博企业网站管理系统SQL注入: q5 c) x2 f$ t9 F2 Q9 _
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608$ C k/ r" ]5 l
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。/ k2 ~) R2 B& o X! D
漏洞验证:* `6 y9 H- x0 Y Y
% g4 k+ `" G! C, T' `
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
! f( }; {" t2 O% j# {: e- p访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
# i. P/ |* W2 v& M" g
. h+ A" X) T9 Y) Q+ ?4 {那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
- D$ N3 M- R; v/ _3 i/ b
" u7 |1 x& ~% w* d" Y : Q8 H8 A5 P( j. l0 E
" [# T# u$ S5 ~& ~
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
, r; f' }3 F9 s& ~ 7 N" E$ S+ M4 ?8 g
http://localhost/admin/Editor/aspx/style.aspx
/ L% j! g5 B) y: a是无法进入的,会带你到首页,要使用这个页面有两个条件:1 e/ {/ W3 L, a1 j* v, z1 B
1.身份为管理员并且已经登录。
# f! X9 b2 [; K5 s2 m2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
% P4 T1 [' L# S5 L& u6 U0 u" Z : ^7 S0 a w u8 ^7 w1 ], Q
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:" G; U# S2 K, w, M, `8 P& E
" o7 j. F1 S" b N& r/ }$ A
http://localhost/admin/Editor/aspx/style.aspx( M# V8 t' [" ]% d$ e1 D( S1 S
剩下的提权应该大家都会了。
" I) S% F0 e5 u! l3 a
: |( t) V4 c3 X1 x之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
1 U# S _0 b5 n' X4 y9 w& S9 m
1 U5 o M% R+ P) b; G- H: N- u ) u% e7 U8 J8 E$ v
* g: v4 @+ [( G/ [( W7 t# ]提供修复措施:
W: x9 {2 r# X0 o7 i8 l: Z( [. d
2 ?6 ~: C+ b" P- i0 U* O% p* ?加强过滤6 d7 M- ^$ ]8 {' V/ R1 F/ o5 N
. n: ~7 ~& Q% n) ?9 G9 @, U |
发表于 2013-1-26 17:55:20
收藏
支持
反对