千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。
; K1 W0 p$ r. W" Z; M
- i6 \1 O5 Q/ G9 e' B8 [7 } , R" \$ L5 W" B, w! f9 _) u
1 S0 d7 c" Q0 [7 K& D
4 u" l; r: ~: |) E- ]9 `/ z( q o漏洞名称:千博企业网站管理系统SQL注入
# R) Q0 L, r. d5 }$ d测试版本:千博企业网站管理系统单语标准版 V2011 Build0608# V. `3 g% ~" f2 U8 Z8 F
漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
6 ~8 D* I' W# B; \6 U/ ?漏洞验证:2 k) j+ S4 q3 c6 E
, h5 N @9 J' Q6 V" K( G访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容$ |- t! k B* K' b
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空; F/ \2 a, q% {) o( _( [
" ]+ f4 m0 s8 J3 L4 A7 ]那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。, R3 i. T% [- d/ z8 {
( u0 k7 D; z) M& c" u; M) }$ {2 w
+ H+ P6 s2 Z7 j9 J1 P
& |9 v# C$ N4 k9 P得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:5 J% v* \3 D( j: B; ^6 d% \$ m
* W. P; k3 s1 V# e$ U
http://localhost/admin/Editor/aspx/style.aspx
0 v7 d4 i" `3 A& e是无法进入的,会带你到首页,要使用这个页面有两个条件:% i2 a6 k. {1 x6 A: o* Z
1.身份为管理员并且已经登录。2 K' V7 T7 \, e, D: \: @/ C' [
2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
/ X0 W% U. M% q$ e* m, u, _ 6 Y) F9 i \8 K
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:. W' _. \5 O7 ^8 c
* S7 m1 w; v- m6 C8 C1 s4 V
http://localhost/admin/Editor/aspx/style.aspx
+ J) j& i6 y n; \8 b8 {$ S剩下的提权应该大家都会了。9 Z0 f! p$ u& Y0 |, V: h/ h5 E j1 t5 l4 X
7 x( K( \, z. L5 [# b3 U
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了 - v: Z$ J# Q- G8 Y* }
% J$ ~; y4 v5 j' ^- M+ ^ $ m- P2 h7 z' [% E u# x
+ k$ k8 X$ A# l提供修复措施:
6 x7 P' V1 M4 s2 F& O% T: V; G) e: S
加强过滤
& O1 k. f7 R" y# c3 P9 e6 W
z; `: M' z* F1 E2 s |
发表于 2013-1-26 17:55:20
收藏
支持
反对