科訊做為一個強大的cms程序大多被政府和教育機構網站所使用，關于科訊的漏洞利用教程網上不是很多。由于科訊的后臺登陸需要輸入認證碼，而認證碼沒有保存在數據庫而是保存在asp文件中，所以在某種程度上增大了拿shell 的難度。下面就個版本拿shell 的方法做一總結。
KesionCMS V3.x和3.x以下版本
網上有0day工具不過沒有具體原理，下面就講一下手工拿shell的方法
關鍵字：inurl:user/Login.asp 忘記密碼? 如果你忘記密碼請點擊inurl:user/userreg.asp 小提示：在輸入用戶名后，可以自動檢查您想要的用戶名
第一步：注冊用戶，也可以直接用admin admin888一般管理員都沒改這個密碼。
第二步：在個人資料那里上傳gif小馬頭像
第三步：點擊菜單欄中的 服務中心 文件管理。我們上傳的gif小馬就在upface文件夾里，只要把文件夾名改成upface.asp既可運行小馬了。關鍵是文件名中過濾了”.”無法直接重命名這里我們用本地html提交的方法來繞過限制。

第四步：在文件夾管理的窗體中點擊右鍵將頁面原文件保存為本地html。
第五步：在文件夾窗口上選擇upface文件夾復制其快捷方式，如http://www.xxx.com/user /user_files.asp?ChannelID=0&topdir=/Upfiles/User/admin3/&action=Main&OpTypeStr=&CurrentDir=upface.asp
第六步：用記事本打開剛才保存的html文件修改關鍵代碼，這里要修改兩處，第一處提交地址修改，提交地
址我們只要將所有的？號替換為http:// /user/user_files.asp?（這個地址通過剛才復
制的那個地址對比得到）既可，具體情況自己分析源文件。
第二處文件過濾修改，在第84行左右有如下字段
function IsStr(w)
{
var str = “abcdefghijklmnopqrstuvwxyz_1234567890″
w = w.toLowerCase();
紅色部分即為文件夾名所使用的字符，我們只要在其中加入“.”既可。完成后保存運行即可將文件夾重命名問xx.asp的形式了。

========================部分源碼======================
function Checked()
{
var j = 0
for(i=0;i abcdefghijklmnopqrstuvwxyz_1234567890″ 字符過濾
w = w.toLowerCase();
var j = 0;
for(i=0;i
form：http://hi.baidu.com/timeless2008/
=============================================================
KesionCMS V4.x和v5.x版本
修改了版本3存在的漏洞。只能通過后臺備份拿shell
關鍵字：inurl:/KS_Data 瀏覽目錄漏洞，可直接下載數據庫文件。
挖掘機：KesionCMS5.mdb KesionCMS4.mdb
得到用戶名和密碼登陸后臺上傳gif木馬，記住路徑。
然后轉到 /admin/ks.database.asp?action=backup 頁面，

這是備份數據庫的頁面，不過默認情況下我們無法輸入小馬路徑，我們在www.xxx.com/admin /ks.database.asp?action=backup頁面點右鍵保存源碼為本地html形式，然后用記事本打開修改當前數據庫路徑，運行 html文件備份即可拿到shell。

======================部分源碼===================
www.xxx.com/admin/ks.database.asp?Action=BackUp&Flag=Backup”>
當前數據庫路徑D:\wwwroot\KS_Data\KesionCMS4.mdb” readonly>備份數據庫名稱[如果備份目錄存在該文件將覆蓋，否則將自動創(chuàng)建] Data(2009-4-16).bak”>

最新評論