[原创] 利用新云网站管理系统v2.0下载漏洞进行入侵

新云网站管理系统v2.0存在一个下载漏洞，即downfile.asp文件里没对url变量作任何检查过滤导致可下载网站任意文件。
那么，接下来的事情就是理所当然的了：

关键URL——flash/downfile.asp? url=
用Google搜索"inurl:flash/downfile.asp? url="可以得出10页左右的搜索结果，其中50%左右存在此漏洞。
选择其中一个打开，并键入默认的数据库链接文件路径：
flash/downfile.asp? url=uploadfile/../../conn.asp   这就是传说中的“key url”……
保存，打开，如果是SQL数据库的，就可以知道帐号和密码，如果是使用mdb的，路径就获取了。

经检查绝大多数网站的数据库都会作一定的防下载处理，例如加“#”的，改后缀为"asp","asa"的。
加“#”的可以用“%23”代替（asp和asa后缀的会在下面提到）。
接下来就是下载数据库，打开其中的admin表可以获取超级管理员密码（经过MD5加密）。
你可以去这个网站尝试解密：http://www.cmd5.com/default.aspx  （你不是自己跑去爆破了吧？天哪……）
然后就是用帐号密码登录后台了（后台登录地址可以尝试默认的地址，如果后台登录地址已经更改，也可以用“阿D”检测一下后台地址）。
进去之后，我第一时间改变上传文件的类型，尝试过asp和asa的，都失败了，因为没有看过源码，也不清楚是哪里的问题。
唯有上传一个已经改名为jpg的海洋一句话服务端（通过发表日志那里），然后尝试邪恶的备份数据库，将刚才的伪jpg文件备份为asp文件。
OK，得到一个webshell了。


篇外话：
过程中我遇到不少以asp,asa为后缀的数据库，无论用迅雷还是快车都下载失败（做了什么处理了？），
用自带的下载漏洞可以下载，但是下载回来一看只是一个0KB的文件，毫无作用……
望知道的朋友说说。

刚才发不了果然就是叶子说的那个“？url”问题，嘿嘿……大家知道“?”后面紧接“url”就好了。

原帖由 fcts1230 于 2007-8-9 00:19 发表
晕
我试试了很多，都没有用啊:o
问一下楼主，一个网站可以列目录
然后该干些什么？？:o

不是吧？我找到了10左右的搜索结果，然后前面试了4页，后面试了2页还是3页，尝试的数量里50%左右都能成功下载数据库链接文件。

-----------------附上我的“测试”日志----------------------
http://mzschool.xyteach.cn/database/mengxiangdemimi2.asp  //下不了...
#site list:
http://mzschool.xyteach.cn/   conn2
http://www.21ling.com/        conn
http://www.srmobile.com/       sql....conn3
http://www.525354.cn/          sql....conn4 user:sa!
http://www.sr139.com/  sql....conn5 user:srmobile
http://www.yx999.cn/123database/%23newasp.asp conn6
www.zxqk.com   conn7
http://www.xkb8.com/            conn8
www.0951game.com               conn9  // mdb都下不了太打击人了

---------------------------
如果可以列目录你可以尝试找它的数据库啊。或者是某些敏感的文件（何谓敏感的文件就要自己判断咯）

原帖由 透析 于 2007-8-9 15:56 发表


默认的数据库路径好像不对啊.我试了几个都不行

你能重新发一次吗？

那个?后面要紧接url，我是因为论坛的过滤限制才加上空格的，实际情况不能有那个空格。
-------》  flash/downfile.asp? url=   《-------看到空格了吗？

就像这样：


不过前2页的网站好像都动过了什么，已经不行了。
看来这个漏洞的时效性快过了 ：）