千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。" c d- _3 [+ C3 Q4 H d6 W% {) V
1 [0 K# e* T6 R$ M J , B) T) d" t: k) l: `3 u4 a9 K s
?, N* y# P5 v
/ X4 D6 W. O0 R; \ B7 i4 n
漏洞名称:千博企业网站管理系统SQL注入; [3 y. I9 @( K7 U# _+ C+ u3 }
测试版本:千博企业网站管理系统单语标准版 V2011 Build06084 r" K% A1 @; b& Q
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
: u8 s4 y: c: X$ {! ?$ Q0 C& [漏洞验证:
8 h* U; L$ b9 V5 P1 g ! T5 Q/ V3 k' W$ |$ g
访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容* R7 d7 h0 u, q* F: `7 s
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空2 @3 H- p2 R6 e5 G3 w
4 _7 i) N4 B- ^) G
那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
$ ~5 y* U3 s2 A! ~- X) n3 D 8 G( [ D2 |2 j' Y5 m
! h- L. ~) A$ W7 O6 _: f# g
- q, V( g# `! {4 w5 E/ Q得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:, Q- L o5 L/ Z. ?+ N
; ]+ x$ w# j5 ?5 G8 S4 uhttp://localhost/admin/Editor/aspx/style.aspx4 y' x! i M4 B* }5 H: Q$ ~
是无法进入的,会带你到首页,要使用这个页面有两个条件:
# ]4 C) e1 i* ]! G9 \! L$ n- `1.身份为管理员并且已经登录。
0 B6 E, @- J% j7 R8 m5 S9 K: I2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
) e& Z, t4 N: g: S3 D
J/ a7 h! @, e! ?" _现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:0 s8 g1 I" i. W- y7 x
8 t3 n$ b' g9 S+ r7 \5 C& U$ i4 Q* p
http://localhost/admin/Editor/aspx/style.aspx% M M4 _! }9 K
剩下的提权应该大家都会了。
1 Z L" t2 X) S2 H7 s 7 f9 M! D, p) b- l
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
9 O% R! H% M+ c* ^0 v
, u2 r3 a& K% \! T( m- G0 _2 T 0 q6 U) i& Z6 s. H, L! w' E
, \) O% k7 F4 L7 r G6 L" J) P8 K
提供修复措施:
0 w. @3 Z9 F& X- |& \6 c9 Z8 Z0 D2 L& d4 ^; [+ Q1 ~9 S
加强过滤# m; R$ @3 X) m8 y* s$ M6 u
5 V' N$ ?, V+ w7 k
|
发表于 2013-1-26 17:55:20
收藏
支持
反对