科訊 kesioncms 5.5以下漏洞拿shell方法原理總結(jié)（圖文）

發(fā)布時(shí)間：2010-09-30 21:16:28 作者：佚名

科訊做為一個(gè)強(qiáng)大的cms程序大多被政府和教育機(jī)構(gòu)網(wǎng)站所使用，關(guān)于科訊的漏洞利用教程網(wǎng)上不是很多。由于科訊的后臺(tái)登陸需要輸入認(rèn)證碼，而認(rèn)證碼沒有保存在數(shù)據(jù)庫而是保存在asp文件中，所以在某種程度上增大了拿shell 的難度。下面就個(gè)版本拿shell 的方法做一總結(jié)。

by：Timeless2008me
科訊做為一個(gè)強(qiáng)大的cms程序大多被政府和教育機(jī)構(gòu)網(wǎng)站所使用，關(guān)于科訊的漏洞利用教程網(wǎng)上不是很多。由于科訊的后臺(tái)登陸需要輸入認(rèn)證碼，而認(rèn)證碼沒有保存在數(shù)據(jù)庫而是保存在asp文件中，所以在某種程度上增大了拿shell 的難度。下面就個(gè)版本拿shell 的方法做一總結(jié)。
KesionCMS V3.x和3.x以下版本
網(wǎng)上有0day工具不過沒有具體原理，下面就講一下手工拿shell的方法
關(guān)鍵字：inurl:user/Login.asp 忘記密碼? 如果你忘記密碼請(qǐng)點(diǎn)擊inurl:user/userreg.asp 小提示：在輸入用戶名后，可以自動(dòng)檢查您想要的用戶名
第一步：注冊(cè)用戶，也可以直接用admin admin888一般管理員都沒改這個(gè)密碼。
第二步：在個(gè)人資料那里上傳gif小馬頭像
第三步：點(diǎn)擊菜單欄中的服務(wù)中心文件管理。我們上傳的gif小馬就在upface文件夾里，只要把文件夾名改成upface.asp既可運(yùn)行小馬了。關(guān)鍵是文件名中過濾了"."無法直接重命名這里我們用本地html提交的方法來繞過限制。

第四步：在文件夾管理的窗體中點(diǎn)擊右鍵將頁面原文件保存為本地html。
第五步：在文件夾窗口上選擇upface文件夾復(fù)制其快捷方式，如http://www.xxx.com/user    /user_files.asp?ChannelID=0&topdir=/Upfiles/User/admin3/&action=Main&OpTypeStr=&CurrentDir=upface.asp
第六步：用記事本打開剛才保存的html文件修改關(guān)鍵代碼，這里要修改兩處，第一處提交地址修改，提交地
              址我們只要將所有的？號(hào)替換為http://www.xxx.com/user/user_files.asp?（這個(gè)地址通過剛才復(fù)
              制的那個(gè)地址對(duì)比得到）既可，具體情況自己分析源文件。
              第二處文件過濾修改，在第84行左右有如下字段
function IsStr(w)
                {
                    var str = "abcdefghijklmnopqrstuvwxyz_1234567890"
                    w = w.toLowerCase();
紅色部分即為文件夾名所使用的字符，我們只要在其中加入“."既可。完成后保存運(yùn)行即可將文件夾重命名問xx.asp的形式了。

========================部分源碼======================

                function Checked()
                {
                    var j = 0
                    for(i=0;i abcdefghijklmnopqrstuvwxyz_1234567890" 字符過濾
                    w = w.toLowerCase();
                    var j = 0;
                    for(i=0;i
form：http://hi.baidu.com/timeless2008/
=============================================================
KesionCMS V4.x和v5.x版本
修改了版本3存在的漏洞。只能通過后臺(tái)備份拿shell
關(guān)鍵字：inurl:/KS_Data 瀏覽目錄漏洞，可直接下載數(shù)據(jù)庫文件。
挖掘機(jī)：KesionCMS5.mdb KesionCMS4.mdb
得到用戶名和密碼登陸后臺(tái)上傳gif木馬，記住路徑。
然后轉(zhuǎn)到 www.xxx.com/admin/ks.database.asp?action=backup 頁面，

這是備份數(shù)據(jù)庫的頁面，不過默認(rèn)情況下我們無法輸入小馬路徑，我們?cè)趙ww.xxx.com/admin /ks.database.asp?action=backup頁面點(diǎn)右鍵保存源碼為本地html形式，然后用記事本打開修改當(dāng)前數(shù)據(jù)庫路徑，運(yùn)行 html文件備份即可拿到shell。
======================部分源碼===================
www.xxx.com/admin/ks.database.asp?Action=BackUp&Flag=Backup">
當(dāng)前數(shù)據(jù)庫路徑D:\wwwroot\KS_Data\KesionCMS4.mdb" readonly>備份數(shù)據(jù)庫名稱[如果備份目錄存在該文件將覆蓋，否則將自動(dòng)創(chuàng)建] Data(2009-4-16).bak">