讯时新闻系统漏洞
這套系統有N年版,一般的政府、學校和企事業單位用得多,
特證: 顯示新聞News_View.asp?NewsID= 登陸login.asp?id=3,最主要的特證是用的一個有一個EDIT目錄,下面的數據庫是用的db/#ewebeditor.asp
以上特證只要中二個就基本可以肯定是這套系統
漏洞:這套系統原來有N多漏洞,但經過改進,現在主要的問題是COOKIES注入和列目錄問題
具體的代碼我就講了,直接講利用
第一板斧:
老版中存在一個后臺COOKIES注入
直接打開登陸后臺,然后在地址欄輸入
javascript:alert(document.cookie="adminuser="+escape("‘or'='or'"));javascript:alert(document.cookie="adminpass="+escape("‘or'='or'"));javascript:alert(document.cookie="admindj="+escape("1″));
這個功能就是把用戶名和密碼設置 為'or'='or' (這個有什么用不說了吧),還有把admindj設置為1
按回車后,直接訪問 /管理目錄/admin_index.asp就進后臺了,后臺直接有備份功能
管理目錄自己找一下,一般在LOGIN.ASP的同級目錄
第二析斧:
其中的投票文件過濾不嚴,js-xgxx.asp文件的xgnews參數沒有過濾,具體的可以一朋友寫的專用小工具(也可以對其它某些有COOKIES注入,但關鍵字和其它一些參數是固定了,作用可能不大,只是我們寫來娛樂一下的,牛人不要笑)
用這個直接可以得到管理員用戶名和密碼的MD5
有了MD5可以去破解,如果破不了把上面的改一下
javascript:alert(document.cookie="adminuser="+escape(" 用戶名"));javascript:alert(document.cookie="adminpass="+escape("密碼md5值")); javascript:alert(document.cookie="admindj="+escape("1″));
確定后直進后臺
第三板斧:
如果以上還是不行那就看......還是cookies問題,有某些版本中過濾了COOKIES中的'號,這樣我們的萬能密碼就起不了作用了,asp文件的 COOKIES注入過沒戲了,但是admindj=1還有用,輸入完上面的代碼后,如果還進不了后臺,那就訪問 /edit/admin_uploadfile.asp?id=14&dir=..,然后跟EWEBEDITOR的列目錄漏洞一樣,只需要改變 dir=后面的參數就可以看到查應的目錄,如dir=..\.. dir=..\..\..
可以找一些他的數據庫備份啊或其它的.
?
當看到它后臺目錄后,可以耐心的找找,沒準能找到很有用的東西,我就找到了整個網站的備份,是rar格式的,我直接下載下來了,通過這個我就知道了webshell,當然這是在其他方面漏洞很少而又很幸運的前提下才有的。我試過別的方法得webshell,但是沒成功…
?
另外還有個漏洞可能會有用
?
我們來看admin目錄下的admin_conn.asp 文件,這文件代碼很簡單就幾句話,我們來看源碼
<%
mdb="../"
%><!--#include file = ../admin_conn.asp -->
夠簡單吧,但是可能就是因為程序員疏忽,所以出現問題啦,這是一個數據庫鏈接文件,但是因為這文件沒有容錯語句,所以導致暴庫漏洞下面是我的本機地址http://localhost/news/admin/admin_conn.asp,我們把最后一個“/”號改成“%5c”然后,哈哈,暴庫數據庫地址拉,大家看截圖
,而且這套系統沒有數據庫防下載措施,數據庫可以輕易下載
這個漏洞修復方法很簡單,只要添加防錯語句即可
”ON ERROR RESUME NEXT“這一句話!!!!
這漏洞應該是程序員疏忽造成的,在根目錄下也有個admin_conn.asp 文件,這文件程序員添加了防錯語句,
這漏洞危害較大,請大家不要拿這程序拿來做壞事哦!!!
?
如果得到了webshell,就可以下載它的數據庫了,看哪個數據庫對你有用就下載哪個,有時管理員會在數據庫名稱上做一些手腳,讓你下載不成功,那么下面的方法一定有用:
數據庫名前加“#”
只需要把數據庫文件前名加上“#”,然后修改數據庫連接文件(如conn.asp)中的數據庫地址。原理是下載的時候只能識別“#”號前名的部分,對于后面的自動去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb (假設存在的話)。無論是 IE 還是 FlashGet等下到的都是http://www.test.com/date/index.htm(或index.asp、default.jsp等你在 IIS設置的首頁文檔)
另外在數據庫文件名中保留一些空格也起到類似作用,由于HTTP協議對地址解析的特殊性,空格會被編碼為“%20”,如http://www.test.com/date/123 456.mdb,下載的時http://www.test.com/date/123%20456.mdb。而我們的目錄就根本沒有123%20456.mdb這個文件,所以下載也是無效的。這樣的修改后,即使你暴露了數據庫地址,一般情況下別人也是無法下載!
?
“#”號方案的不可行性:其實在較早的一篇博客堂文章中已經提到這個問題了。將“#”號替換為“%23”就可以突破這個“關卡”了,比如:http://www.abc.com/#data.mdb,就直接在瀏覽器中輸入:http://www.abc.com/%23data.mdb 就可以下載了!
空格方案就不必多說了,我在本機的試驗證明,在瀏覽器地址欄中直接寫 http://localhost/testdata.mdb 沒有任何問題很順利就下載到了這個 test data.mdb,不知作者是什么解決方案。
轉載于:https://www.cnblogs.com/shanmao/archive/2012/11/15/2772416.html
總結
- 上一篇: Kafka深入浅出(一)
- 下一篇: jquery选择器可以利用后代和直系后代