欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

發(fā)掘MaosinCMS網(wǎng)站系統(tǒng)漏洞與測試

  發(fā)布時(shí)間:2011-03-11 12:10:35   作者:佚名   我要評論
  最近的動(dòng)易CMS漏洞可以說著實(shí)火了一把,本文寫的CMS雖然沒有動(dòng)易功能強(qiáng)大,但同樣存在注入漏洞。這種漏洞用工具是掃不到的,可以說注入已經(jīng)由顯式轉(zhuǎn)為隱式了,必須查看源代碼才有可能發(fā)現(xiàn)潛在的漏洞。   適合讀者:入侵愛好者前置知識:無發(fā)掘MaosinCMS網(wǎng)站系統(tǒng)漏

  最近的動(dòng)易CMS漏洞可以說著實(shí)火了一把,本文寫的CMS雖然沒有動(dòng)易功能強(qiáng)大,但同樣存在注入漏洞。這種漏洞用工具是掃不到的,可以說注入已經(jīng)由顯式轉(zhuǎn)為隱式了,必須查看源代碼才有可能發(fā)現(xiàn)潛在的漏洞。

  適合讀者:入侵愛好者前置知識:無發(fā)掘MaosinCMS網(wǎng)站系統(tǒng)漏洞 舒城李寅♂(夢幻★劍客) 最近的動(dòng)易CMS漏洞可以說著實(shí)火了一把,本文寫的CMS雖然沒有動(dòng)易功能強(qiáng)大,但同樣存在注入漏洞。這種漏洞用工具是掃不到的,可以說注入已經(jīng)由顯式轉(zhuǎn)為隱式了,必須查看源代碼才有可能發(fā)現(xiàn)潛在的漏洞。 本地測試漏洞 在本地架設(shè)好IIS,界面還算美觀了。不過想利用這個(gè)注入點(diǎn),首先需要注冊個(gè)普通用戶。黑防曾經(jīng)發(fā)表過一篇發(fā)現(xiàn)“注冊型注入點(diǎn)”的文章,這個(gè)系統(tǒng)的注入漏洞也基本屬于這個(gè)類型的。注冊登錄后的界面感覺是從喬客系統(tǒng)修改過來的,其中有個(gè)“發(fā)布新聞”功能,我這里就隨便填入內(nèi)容點(diǎn)提交后成功發(fā)布。到這里程序都不存在任何問題,可是還有個(gè)“管理發(fā)布新聞”功能,用戶在這里可以對自己發(fā)布的內(nèi)容執(zhí)行修改和刪除,恰好在修改這里,參數(shù)沒有過濾導(dǎo)致我們注入成功。 注意地址欄中傳遞的參數(shù)是數(shù)字型的,注入我最喜歡數(shù)字型的了??吹绞窃趗ser_publish.asp文件出了安全問題,翻看代碼發(fā)現(xiàn)真正的漏洞代碼不在user_publish.asp文件中,而是調(diào)用了user_news.asp文件,其部分代碼如下。

  從代碼中很容易理解exists(,首先是定義一個(gè)子過程modifynews()函數(shù),以便隨時(shí)調(diào)用,而函數(shù)主體代碼變量id直接由GET方式獲取,沒有經(jīng)過任何函數(shù)過濾,就放入記錄集中進(jìn)行SQL查詢,從而造成注入漏洞。既然漏洞已經(jīng)產(chǎn)生,我們就來實(shí)際測試一下。對于簡單的注入,我就直接交給了啊D,可是發(fā)現(xiàn)啊D竟然報(bào)這個(gè)注入點(diǎn)不能注入,看來靠工具是不成了,還是自己手工來吧。 首先在地址欄中輸入“and select * from ms_admin)”來判斷是否存在“ms_admin”表,返回正常,說明存在ms_admin表;接下來用order by 語句判斷字段長度,直到“order by 24”返回正常,說明字段長度為24,再用聯(lián)合查詢來暴密碼和賬戶,執(zhí)行“and 1=2 union select 1,2,3,adminname,5,6,adminpass,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from ms_admin”成功暴出密碼和賬戶。 后來我在看其他文件的時(shí)候,又發(fā)現(xiàn)除了管理新聞這里存在漏洞外,管理圖片也存在同樣的漏洞。user_pic.asp文件中的部分代碼如下。

  這套CMS系統(tǒng)除了這兩個(gè)漏洞外都很安全,可惜千里大堤,潰于蟻穴。拿到賬戶和密碼進(jìn)后臺(tái)發(fā)現(xiàn)功能很強(qiáng)大,有數(shù)據(jù)庫備份和上傳功能,還可以直接執(zhí)行SQL命令。在上傳設(shè)置選項(xiàng)中添加個(gè)asp。再回到前臺(tái)上傳ASP木馬,就可拿到WebShell了。 網(wǎng)絡(luò)測試 本想對安徽大學(xué)思科網(wǎng)絡(luò)學(xué)院做測試的,結(jié)果后臺(tái)找不到,就放棄了,在網(wǎng)絡(luò)上找了一個(gè)“湖南湘潭設(shè)計(jì)藝術(shù)家協(xié)會(huì)”站點(diǎn)來測試,和本地演示一樣,注冊用戶后發(fā)布文章,直接執(zhí)行SQL命令,很輕松地暴出了賬戶和密碼。讓我大跌眼鏡的是,密碼和賬戶竟然是默認(rèn)的admin和admin888,可見這個(gè)網(wǎng)站的管理員連最基本的安全知識都不具備。進(jìn)入后臺(tái),添加ASP后綴名來上傳ASP木馬,同樣也可以利用備份數(shù)據(jù)庫獲得WebShell。我這里直接上傳ASP木馬就拿到了WebShell。 拿到WebShell后發(fā)現(xiàn)權(quán)限比較小,只能在站點(diǎn)目錄下跳轉(zhuǎn),但是可以執(zhí)行CMD命令,沒有將wscript.shell組件去掉。由于本站是在政府站點(diǎn)下建的子目錄,所以我就沒有再繼續(xù)下去。文章寫到這里就結(jié)束了,最后祝大家在新的一年里技術(shù)更進(jìn)一步。

相關(guān)文章

最新評論