返回列表 发帖

[原创] 利用新云网站管理系统v2.0下载漏洞进行入侵

新云网站管理系统v2.0存在一个下载漏洞,即downfile.asp文件里没对url变量作任何检查过滤导致可下载网站任意文件。
那么,接下来的事情就是理所当然的了:

关键URL——flash/downfile.asp? url=
用Google搜索"inurl:flash/downfile.asp? url="可以得出10页左右的搜索结果,其中50%左右存在此漏洞。
选择其中一个打开,并键入默认的数据库链接文件路径:
flash/downfile.asp? url=uploadfile/../../conn.asp   这就是传说中的“key url”……
保存,打开,如果是SQL数据库的,就可以知道帐号和密码,如果是使用mdb的,路径就获取了。

经检查绝大多数网站的数据库都会作一定的防下载处理,例如加“#”的,改后缀为"asp","asa"的。
加“#”的可以用“%23”代替(asp和asa后缀的会在下面提到)。
接下来就是下载数据库,打开其中的admin表可以获取超级管理员密码(经过MD5加密)。
你可以去这个网站尝试解密:http://www.cmd5.com/default.aspx  (你不是自己跑去爆破了吧?天哪……)
然后就是用帐号密码登录后台了(后台登录地址可以尝试默认的地址,如果后台登录地址已经更改,也可以用“阿D”检测一下后台地址)。
进去之后,我第一时间改变上传文件的类型,尝试过asp和asa的,都失败了,因为没有看过源码,也不清楚是哪里的问题。
唯有上传一个已经改名为jpg的海洋一句话服务端(通过发表日志那里),然后尝试邪恶的备份数据库,将刚才的伪jpg文件备份为asp文件。
OK,得到一个webshell了。


篇外话:
过程中我遇到不少以asp,asa为后缀的数据库,无论用迅雷还是快车都下载失败(做了什么处理了?),
用自带的下载漏洞可以下载,但是下载回来一看只是一个0KB的文件,毫无作用……
望知道的朋友说说。

刚才发不了果然就是叶子说的那个“?url”问题,嘿嘿……大家知道“?”后面紧接“url”就好了。

TOP


我试试了很多,都没有用啊:o
问一下楼主,一个网站可以列目录
然后该干些什么??:o
借我三千虎骑,复我浩荡中华!饮马恒河畔,剑指天山西;碎叶城揽月,库叶岛赏雪;黑海之滨垂钓,贝加尔湖面张弓;中南半岛访古,东京废墟遥祭华夏列祖。汉旗指处­,望尘逃遁——敢犯中华天威者、虽远必诛

TOP

原帖由 fcts1230 于 2007-8-9 00:19 发表

我试试了很多,都没有用啊:o
问一下楼主,一个网站可以列目录
然后该干些什么??:o



不是吧?我找到了10左右的搜索结果,然后前面试了4页,后面试了2页还是3页,尝试的数量里50%左右都能成功下载数据库链接文件。

-----------------附上我的“测试”日志----------------------
http://mzschool.xyteach.cn/database/mengxiangdemimi2.asp  //下不了...
#site list:
http://mzschool.xyteach.cn/   conn2
http://www.21ling.com/        conn
http://www.srmobile.com/       sql....conn3
http://www.525354.cn/          sql....conn4 user:sa!
http://www.sr139.com/  sql....conn5 user:srmobile
http://www.yx999.cn/123database/%23newasp.asp conn6
www.zxqk.com   conn7
http://www.xkb8.com/            conn8
www.0951game.com               conn9  // mdb都下不了太打击人了

---------------------------
如果可以列目录你可以尝试找它的数据库啊。或者是某些敏感的文件(何谓敏感的文件就要自己判断咯)

TOP

如果可以列目录你可以尝试找它的数据库啊。或者是某些敏感的文件(何谓敏感的文件就要自己判断咯)
了解
借我三千虎骑,复我浩荡中华!饮马恒河畔,剑指天山西;碎叶城揽月,库叶岛赏雪;黑海之滨垂钓,贝加尔湖面张弓;中南半岛访古,东京废墟遥祭华夏列祖。汉旗指处­,望尘逃遁——敢犯中华天威者、虽远必诛

TOP

虽然懂入侵,但真的下到了conn。asp:P :P
楼主好厉害啊
借我三千虎骑,复我浩荡中华!饮马恒河畔,剑指天山西;碎叶城揽月,库叶岛赏雪;黑海之滨垂钓,贝加尔湖面张弓;中南半岛访古,东京废墟遥祭华夏列祖。汉旗指处­,望尘逃遁——敢犯中华天威者、虽远必诛

TOP

原帖由 默读忧伤 于 2007-8-9 00:07 发表
选择其中一个打开,并键入默认的数据库链接文件路径:
flash/downfile.asp? url=uploadfile/../../conn.asp   这就是传说中的“key url”……


默认的数据库路径好像不对啊.我试了几个都不行

你能重新发一次吗?
怀疑yiqie

TOP

原帖由 透析 于 2007-8-9 15:56 发表


默认的数据库路径好像不对啊.我试了几个都不行

你能重新发一次吗?



那个?后面要紧接url,我是因为论坛的过滤限制才加上空格的,实际情况不能有那个空格。
-------》  flash/downfile.asp? url=   《-------看到空格了吗?

TOP

就像这样:


不过前2页的网站好像都动过了什么,已经不行了。
看来这个漏洞的时效性快过了 :)
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

不是漏洞封的问题,而是一个管理员发现网站有问题首先就去更新程序了
天空中不曾留下鸟飞的痕迹
但我们毕竟曾经努力的飞过

╱◥█◣ ╱◥█◣
︱田︱田︱︱田︱田︱
╬╬╬╬╬╬╬╬╬╬╬╬╬╬
      ● ╭○╮
    /█∨█\
      ∏    ∏  BLOG:http://blackleaf.thysea.com
天空中不曾留下鸟飞的痕迹
但我们毕竟曾经努力的飞过

TOP

返回列表 回复 发帖