千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。( G; z& `* Q( a$ J1 @! V9 s- T
3 k! F* }7 w$ S( t" q4 P
! r: f8 C9 }, |& M; d: s
! E* D* {# P2 @5 G ! s. g% |5 D1 o/ q8 F+ `" g
漏洞名称:千博企业网站管理系统SQL注入1 O" [3 r- E: m+ K% g& I0 F
测试版本:千博企业网站管理系统单语标准版 V2011 Build06084 k6 g/ U( W' j9 d6 ^
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
B [6 ^" m* @7 v- U2 V漏洞验证:
7 N k0 k5 \ E7 s- j$ {% E
6 |5 W, ?* W5 X Q% q: ? D访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容
$ D$ n) H2 Z0 ^$ b访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空8 S* F) T1 `( `1 t2 P4 _
$ ~5 X- v' S7 t! D那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。
. Y3 n% |: t# t( @$ b7 v . O }$ h! G- D# }# o- }: x* V
+ u' C! F9 W8 { Y0 g( O
$ R% m" |+ |0 @, A得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
3 R6 K' b/ v/ N7 g# y3 Q 4 h! f( X8 ]% N# U" G2 [
http://localhost/admin/Editor/aspx/style.aspx
) M1 O; Z" i/ {) z' Y2 P是无法进入的,会带你到首页,要使用这个页面有两个条件:
7 n% ^ x% A: k4 E& |3 r) n1.身份为管理员并且已经登录。% l$ n6 T$ A& _: O; Z- b1 p! \
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
; l, r6 A, F9 w y + S0 f+ ?7 n8 c7 h4 d" C3 w
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
4 G( l% ], O- V6 K
9 Q% ]) f6 L# C' Z3 e% Uhttp://localhost/admin/Editor/aspx/style.aspx7 |$ b6 L# y) ~
剩下的提权应该大家都会了。
0 a7 D0 D1 \* A* @ 2 I* o0 r! U9 E& e+ i
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 & Q$ I7 ^( n/ |1 w- W. Y
# }$ ^6 z) h* s# d4 l8 K7 Q. X M: t3 K, ^2 d3 k
1 m' |. k# G2 e7 r* C; M4 m# X: T2 g提供修复措施:) e9 n9 L* {" `! h5 p: ~" w/ w
) v: M6 r7 u7 F5 _7 X加强过滤
q7 F) `: a7 e% B) t/ Z3 P% L$ Q
, i9 z3 M- } U6 E |
发表于 2013-1-26 17:55:20
收藏
支持
反对