最近的動易CMS漏洞可以說著實火了一把，本文寫的CMS雖然沒有動易功能強大，但同樣存在注入漏洞。這種漏洞用工具是掃不到的，可以說注入已經由顯式轉為隱式了，必須查看源代碼才有可能發(fā)現(xiàn)潛在的漏洞。

　　適合讀者：入侵愛好者前置知識：無發(fā)掘MaosinCMS網站系統(tǒng)漏洞 舒城李寅♂(夢幻★劍客) 最近的動易CMS漏洞可以說著實火了一把，本文寫的CMS雖然沒有動易功能強大，但同樣存在注入漏洞。這種漏洞用工具是掃不到的，可以說注入已經由顯式轉為隱式了，必須查看源代碼才有可能發(fā)現(xiàn)潛在的漏洞。 本地測試漏洞 在本地架設好IIS，界面還算美觀了。不過想利用這個注入點，首先需要注冊個普通用戶。黑防曾經發(fā)表過一篇發(fā)現(xiàn)“注冊型注入點”的文章，這個系統(tǒng)的注入漏洞也基本屬于這個類型的。注冊登錄后的界面感覺是從喬客系統(tǒng)修改過來的，其中有個“發(fā)布新聞”功能，我這里就隨便填入內容點提交后成功發(fā)布。到這里程序都不存在任何問題，可是還有個“管理發(fā)布新聞”功能，用戶在這里可以對自己發(fā)布的內容執(zhí)行修改和刪除，恰好在修改這里，參數(shù)沒有過濾導致我們注入成功。 注意地址欄中傳遞的參數(shù)是數(shù)字型的，注入我最喜歡數(shù)字型的了。看到是在user_publish.asp文件出了安全問題，翻看代碼發(fā)現(xiàn)真正的漏洞代碼不在user_publish.asp文件中，而是調用了user_news.asp文件，其部分代碼如下。

　　從代碼中很容易理解exists(，首先是定義一個子過程modifynews()函數(shù)，以便隨時調用，而函數(shù)主體代碼變量id直接由GET方式獲取，沒有經過任何函數(shù)過濾，就放入記錄集中進行SQL查詢，從而造成注入漏洞。既然漏洞已經產生，我們就來實際測試一下。對于簡單的注入，我就直接交給了啊D，可是發(fā)現(xiàn)啊D竟然報這個注入點不能注入，看來靠工具是不成了，還是自己手工來吧。 首先在地址欄中輸入“and select * from ms_admin)”來判斷是否存在“ms_admin”表，返回正常，說明存在ms_admin表;接下來用order by 語句判斷字段長度，直到“order by 24”返回正常，說明字段長度為24，再用聯(lián)合查詢來暴密碼和賬戶，執(zhí)行“and 1=2 union select 1,2,3,adminname,5,6,adminpass,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from ms_admin”成功暴出密碼和賬戶。 后來我在看其他文件的時候，又發(fā)現(xiàn)除了管理新聞這里存在漏洞外，管理圖片也存在同樣的漏洞。user_pic.asp文件中的部分代碼如下。

　　這套CMS系統(tǒng)除了這兩個漏洞外都很安全，可惜千里大堤，潰于蟻穴。拿到賬戶和密碼進后臺發(fā)現(xiàn)功能很強大，有數(shù)據庫備份和上傳功能，還可以直接執(zhí)行SQL命令。在上傳設置選項中添加個asp。再回到前臺上傳ASP木馬，就可拿到WebShell了。 網絡測試 本想對安徽大學思科網絡學院做測試的，結果后臺找不到，就放棄了，在網絡上找了一個“湖南湘潭設計藝術家協(xié)會”站點來測試，和本地演示一樣，注冊用戶后發(fā)布文章，直接執(zhí)行SQL命令，很輕松地暴出了賬戶和密碼。讓我大跌眼鏡的是，密碼和賬戶竟然是默認的admin和admin888，可見這個網站的管理員連最基本的安全知識都不具備。進入后臺，添加ASP后綴名來上傳ASP木馬，同樣也可以利用備份數(shù)據庫獲得WebShell。我這里直接上傳ASP木馬就拿到了WebShell。 拿到WebShell后發(fā)現(xiàn)權限比較小，只能在站點目錄下跳轉，但是可以執(zhí)行CMD命令，沒有將wｓｃｒｉｐｔ.shell組件去掉。由于本站是在政府站點下建的子目錄，所以我就沒有再繼續(xù)下去。文章寫到這里就結束了，最后祝大家在新的一年里技術更進一步。

最新評論