千博企业网站管理系统是一套比较常见的企业网站管理系统,很多市面上的企业网站都是改它的源码而来的。它的ASPX版本是封装起来的,就是说很多东西是放进DLL里面的,因此给查看源代码带来了难度。漏洞出现的版本是2011版的了,网上挺多的,其实想要说的重点是在后面的GetShell,很有技巧。+ w8 x2 e/ d- M; `
. A1 p& ?, h) H0 V) l# T ! q0 P3 p+ o( z- e- N f& n& x1 _3 i
, d- _% C) t) s {9 z5 X+ r 7 u1 C5 f0 c" k" P4 {- W
漏洞名称:千博企业网站管理系统SQL注入! q5 [( w! T- ^ a3 S; o: P
测试版本:千博企业网站管理系统单语标准版 V2011 Build0608
! W# ?( ]+ C* x2 Z% m% u5 u漏洞详情:由于搜索处未对输入进行过滤,导致SQL注入。出现漏洞的文件名是:Search.Aspx。
% s6 S* t: }- v4 x; M) V漏洞验证:
9 p' G7 d+ A0 `# r; ~# f( s
0 ?% L8 u+ S; L7 G- I$ X% Q访问http://localhost/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%Jarett,返回所有内容+ c( u! M) |1 c" D
访问http://www.xxx.com/Search.Aspx?sid=2&keyword=%' and '%Jarett%'='%sb,返回为空
' M0 x, q W, ~ }1 @1 b3 w1 u
0 r7 ~5 Z" Q/ H5 J5 r( ?那么就是存在注入了,不过可能无法直接union出来,要折半查找,慢慢手工刷吧,不一会儿,就刷到你脑残了。, c& L6 g; R& m% I7 z
4 Y" a5 _0 ]8 u6 k: _% b6 H! M
% [9 F: H D' v9 P8 L " X; y. b. v c2 I3 m
得到密码以后一般直接加个admin目录就是后台了,不出意外的话,而且进入了后台以后,不出意外的话,你是无法GetShell的,但是本地测试时发现了个一个很有技巧的GetShell方法。这个系统使用了eWebEditor,但是无法直接利用,已经经过二次DLL封装处理的了。直接访问:
6 O, |% A, `! _& V& } " K: k7 I: Q/ M4 E9 y4 Q2 Z) d( [
http://localhost/admin/Editor/aspx/style.aspx
1 x' x u$ \; b是无法进入的,会带你到首页,要使用这个页面有两个条件:
/ B3 H5 S% z( G, S+ v3 n# @1.身份为管理员并且已经登录。
4 v, F9 R$ |, E; N4 \9 q8 J2.访问地址来源为后台地址,也就是请求中必须带上refer:http://localhost/admin/
+ x" V7 a. ?3 L! H# r8 ~; F ) I' H) f& O. ^4 K, U
现在我们第一个条件已经有了,只需要使用火狐的插件或者其他插件来伪造一个refer头就可以直接进入样式管理接口:
/ A5 A- ^+ f0 l* J( A & S# ~1 i4 y4 y O( q8 O! t; z
http://localhost/admin/Editor/aspx/style.aspx3 G, k9 S# ]1 U0 @, B: z0 F
剩下的提权应该大家都会了。8 P' O; S' N) S; _/ Y: @' V
. Q, Q. d9 X K$ k3 E% l: s% X
之所以发出来是因为这个提权方式真的很特别,如果不是本地测试偶然发现,我相信没有多少人会去试一试加refer头。也算是奇葩GetShell了
' m; ]* h" D' z6 Z- p
2 I v3 ]! ?, y 6 s4 k6 n3 o( B
* m$ L( _. g$ B7 p提供修复措施:
" M2 O" d7 M0 y5 \9 F" K; h+ E5 [3 g) a5 J1 V% b
加强过滤
2 q5 Y; \ G* W+ l h% i/ K( M2 c" ]# h% U
|
发表于 2013-1-26 17:55:20
收藏
分享
支持
反对