新网盟影视系统漏洞
我下载的是Access版本的,至于最后能否拿到WebShell,还得取决于MD5加密的管理员密码是否可以破解,那就要看你的人品和幸运指数了,呵呵。拿到程序,我首先在本地黑盒测试,运气不是很好,发现该过滤的参数都给过滤了。没有办法,还是要直接读源代码,先看较容易出现问题的密码找回文件exitpwd.asp,其代码如下:
set rs_1=server.createobject("adodb.recordset")
sql="select * from users where userid='"&request("myuserid")&"'"
rs_1.open sql,conn,1,1
if ( rs_1.bof and rs_1.eof) then
response.write "<script language=JavaScript>" & chr(13) & "alert('错误信息如下:请检查!\n\n1. 你还没有输入用户名!\n\n2. 您输入的用户名错误!\n\n3. 该用户名还未被注册!');" & "history.back()" & "</script>"
response.end
else
session("myuserid")=rs_1("userid")
end if
rs_1.close
set rs_1=nothing
elseif step=3 then
set rs_3=server.createobject("adodb.recordset")
sql="select * from users where userid='"&session("myuserid")&"'"
rs_3.open sql,conn,1,1
if request("adress")<>rs_3("adress") then
response.write "<script language=JavaScript>" & chr(13) & "alert('对不起,您输入的答案不正确,请重新输入!');" & "history.back()" & "</script>"
response.end
end if
rs_3.close
set rs_3=nothing
上面的代码中,myuserid虽然没有做过滤,但是限制了名字长度的表单输入框maxlength="15”,导致没有利用价值了。继续往下看,发现其他页面的变量有不少存在着Cookie注入漏洞,不过利用起来不是很爽。当读到Admin目录里的文件的时候,我又有了新的发现,比以上的都更容易拿到管理员账号。虽然Admin目录的文件基本上都调用了<!--#include file="security.asp"-->来判断是否有Session,但是backup.asp这个文件还是忘记调用security.asp来判断了。从文件的名字大家就可以知道这个文件的功能是备份数据库用的,并且是由自己来指定备份的数据库文件的名字及后缀,并且备份目录及存放的位置也是由我们自己控制的。简单的来说,我们只要找到后台backup.asp这个文件,就可以备份网站的所有文件且备份成你想要的后缀名字,这样漏洞就产生了!如果我们通过这个网站的上传功能传个图片,然后利用备份不就可以得到一个WebShell了吗?但是看了上传文件的代码,发现使用了Session限制,看来只有利用管理员账号进入后台后才可以上传了,我晕!不过没有关系,我们可以通过备份连接文件为TXT格式,然后访问这个文件来找出数据库的存放位置。如果是MDB的就想办法直接下载,不是MDB后缀的怎么办呢?因为数据库做了防下载处理,我们可以先把ASP数据库备份成MDB后缀的,并存放到指定的目录中,然后再下载即可。
理论部分就说这么多了,下面我们来测试一下。由于数据库就一个,但连接数据文件却有多个,我们就先备份根目录下默认的articleconn.asp数据库为TXT文件来访问,我这里备份到MD5文件夹里了,如图1所示。然后访问[url]http://vod.xhengshui.com/md5/hehe.txt[/url]这个文件,发现数据库的位置是“xhengshui/x#hengshui.asp”,表中有nodown防下载处理,我们继续备份成MDB后缀的。我们直接下载hehe.mdb,打开数据库,找到管理员的MD5加密的密码,到[url]www.cmd5.com[/url]这个网站破解。Zero_cold的人品和运气都很好,直接破解出admin的密码是031872566。
现在管理员的账号和密码都有了,我们直接登录后台。在电影管理的修改里有上传图片的功能,上传一个gif格式的木马并记录下路径,然后备份成ASP后缀格式。备份的方法和上面的方法是完全一样的,这样我们就拿到WebShell了。至于提权,我就不再继续下去了,有兴趣的读者可以自己去研究一下。
至于程序的修补,我这里就简单说明一下。在backup.asp的开始用<!--#include file="security.asp">这个文件包调用security.asp文件就可以了,因为没有Session,我们就访问不了backup.asp文件。其余的地方,有问题的都是参数没有过滤好,怎么过滤我就不说了,黑防杂志的若干作者都已经说的很清楚了。最后,由于官方网站我访问很慢且论坛我也访问不到,只好加了作者的QQ给他留言了,希望他能看见吧。目前使用这个程序的网站有很多,且程序的漏洞危害比较大,希望大家在测试的时候是以学习为目的,不要搞破坏。
页:
[1]