检测南方数据整站系统

网站首页 ◆ 黑客新闻 ◆ 黑客学院 ◆ 网络学院 ◆ 黑客软件 ◆ 黑客动画 ◆ 免费资源 ◆ 黑客搜索 ◆ 黑客查询 ◆ 加入会员 ◆ 黑客网址◆ 网站留言 ◆ QQ资源网

您现在的位置： QQ黑客基地 >> 黑客学院 >> 脚本黑客 >> 黑客学院正文

检测南方数据整站系统

作者：admin2 黑客学院来源：本站原创点击数：更新时间：2008-1-17

今天在网上看到南方数据整站系统已经更新到V10了，很多朋友都检测出来了不同的漏洞，所以我也下载了这套系统分析一下，看看能不能挖掘出来漏洞吧！
不挖不知道，一挖吓一跳，首先当我们看到页面的系统荣誉的时候，是我想起了冠龙整站程序，文件名是同样的CompHonorBig.asp，冠龙的这个页面是存在注入漏洞的，那我们来看看南方数据的这个页面吧（CompVisualizeBig.asp也是存在同样的漏洞），我们看CompHonorBig.asp的代码，行2-11：

<%dim id
id=request.QueryString("id")%>
<html>
<head>
<title>图片</title>
<meta http-equiv="Content-Type" c>
<%
set rs=server.CreateObject("adodb.recordset")
rs.open "select * from CompHonor where id="&id,conn,1,1
%>

和冠龙的一模一样，注入同样是存在的，没有引入防SQL注入文件，我们注入看看，在系统荣誉中，构造相关的URL:
首先提交：http://127.0.0.1/CompHonorBig.asp?id=11 and 1=1，结果返回正常，如图1
[attach]2565[/attach]
然后提交：http://127.0.0.1/CompHonorBig.asp?id=11 and 1=2，结果返回错误，如图2
[attach]2566[/attach]
剩下工作我们交给工具好了，结果如图3：
[attach]2567[/attach]
破解出来的账号和密码是默认的：admin 和0791idc，下面我们看看后台怎么获取webshell。首先我们把我们的GIF格式的ASP木马通过后台的添加产品上传，然后在备份数据库中，按照如图4所示：
[attach]2568[/attach]
点击确定以后，返回的结果是：备份数据库成功，备份的数据库为 c:\inetpub\wwwroot\admin\Databackup\2007-12-31.asp.asa，可能朋友会说了，我们在备份名称处填写.asp是多余的了，其实不是这样，我们看代码，admin/Admin_DataBackup.asp中：
行30

<input type="hidden" size=50 name=bkfolder value=Databackup >
行58-75
sub backupdata()
Dbpath=request.form("Dbpath")
Dbpath=server.mappath(Dbpath)
bkfolder=request.form("bkfolder")
bkdbname=request.form("bkdbname")
Set Fso=server.createobject("scripting.filesystemobject")
if fso.fileexists(dbpath) then
If CheckDir(bkfolder) = True Then
fso.copyfile dbpath,bkfolder& "\"& bkdbname
else
MakeNewsDir bkfolder
fso.copyfile dbpath,bkfolder& "\"& bkdbname & ".asa"
end if
response.write "<center>备份数据库成功，备份的数据库为 " & bkfolder & "\" & bkdbname & ".asa</center>"
Else
response.write "找不到您所需要备份的文件。"
End if
end sub

备份过程中判断bkfolder，默认的是Databackup并且存在，所以执行的是fso.copyfile dbpath,bkfolder& "\"& bkdbname 这条语句，但是在回显的时候却是response.write "<center>备份数据库成功，备份的数据库为 " & bkfolder & "\" & bkdbname & ".asa</center>"，不管你的目录是否存在，显示的最后都是带有.asa后缀的，但是文件却不一定带有,所以我们执行的备份方法还是正确的，webshell如图5
[attach]2569[/attach]
不过当我检测南方数据官方演示站点的时候，却发现官方在这个存在漏洞文件中引入了防SQL注入文件，如图6
[attach]2570[/attach]
写到这里我有一种被欺骗的感觉，我不知道官方为什么要这么做，难道只是想我们被人入侵以后去买他的商业版吗？如果说他们是这样的目的的话，我想我是不会使用这样的网站程序的，好，我们继续往下看，看一看跨站漏洞，跨站漏洞无非是提交字符过滤不严格罢了，我们看一下代码：
在comment.asp中，对评论的昵称和内容获取

com_name=Replace(Request.Form("com_name"),"'","''")
content=Replace(Request.Form("com_content"),"'","''")

没有用的过滤，跨站依然成立，但是用户名部分在shownews.asp中还有一层过滤，

<%=Replace(Replace(rs3("com_name"),"<","<"),">",">")%>

但是内容是没有过滤的，我们构造如图7,8：
[attach]2571[/attach]
[attach]2572[/attach]

客户留言部分同样存在跨站漏洞，挂站的利用当然还要靠朋友们自己挖掘了！好了，就写到这里吧，吃饭去了！

上一个黑客学院： lxblog rss.php爆路径

下一个黑客学院： eWebEditor遍历路径漏洞

赞助广告