黑基网 首页 学院 网络安全 查看内容

入侵惠信新闻系统4.0

2005-7-21 14:58| 投稿: security

摘要: 本文作者:Flyinheart文章出处:Www.Sinosec.Com文章性质:原创漏洞发现者:Flyinheart 组织站点:Www.winterSweet.Cn | Www.Sinosec.Com...
本文作者:Flyinheart文章出处:Www.Sinosec.Com文章性质:原创漏洞发现者:Flyinheart 组织站点:Www.winterSweet.Cn | Www.Sinosec.Com    惠州市信息产业局出品的惠信新闻系统4.0在网上有不少网站在用,强大的管理功能,漂亮的界面都是他卓越品质的表现。(如图1)    我是在一次为我们市政府站点做测试时接触到它的,被它强大的功能和系统的结构所折服。在网上搜索了下,已有的Mix大叔在3.0版本中发现friendsitesave.asp有SQL查询的漏洞,还有就是haixiao发现的文件上传漏洞。我试试了朋友的站点好象都不可以。应该是作者发布了补丁修补好了吧!看来又只有自己把代码下载下来慢慢看咯。我就不信,这半真不假的系统就没有漏洞,果然被我发现了,呵呵……   我把整个代码研究了下,原来它整套系统采用动态(ASP)与静态(HTML)的结合,记录在数据库中每个ID与一个HTML相连,每次点击动态页面就会从数据库中调出静态的,再转向静态页面。所以这里的动态页面没有什么利用价值。算算它也应该属于半个静态站点吧,不过还不够彻底,我想可能是作者觉得首页内容太多了,重新生成全部的首页太耗资源了。   继续研究,吓了一跳。这里面怎么有这么多页面没有严格的过滤?作者是不是太马虎了点?可是为什么有些又过滤了,8懂啊!以前怎么就没有人提出来呢?我觉得奇怪。但是有仔细想了想,原来它在里面连来连去的,看代码都会思考半天,我都还拿了支笔出来推代码走到哪里了!(郁闷ING……)最后推出来的结果是给客户端显示的还是有几个动态的页面,呵呵……goodnews.asphotimg.aspnews_info.aspnews_about.asp……省略调用文件   于是又拼命地去看这些页面的代码。发现价值还是太小了。这些个偏巧又是过滤了的。郁闷中的我突然发现了一个被我忽略的页面,news_count.asp看它的名字像是用来记录新闻被读过的次数。从源代码看它确实是这个功能。来看代码:——————————————————————————————————————————……省略调用的数据库连接 if fname<>"" then sql = "select click from News where fname='"&fname&"'" rs.open sql,conn,1,1 %>    document.write(<%=rs(0)%>) <%   rs.close   set rs=nothingend ifif newsid<>0 then sql = "select click from News where newsid="&newsid rs.open sql,conn,1,1 %>   javastr="<%=rs(0)%>"   document.write(javastr)  <%   rs.close   set rs=nothingend ifif BigClassName<>"" then sql = "select newsid from News where BigClassName='"&BigClassName&"'" rs.open sql,conn,1,1 %>   document.write('<%=rs.RecordCount%>) <%   rs.close   set rs=nothingend ifif SmallClassName<>"" then sql = "select newsid from News where SmallClassName='"&SmallClassName&"'" rs.open sql,conn,1,1 %>   document.write(<%=rs.RecordCount%>) <%   rs.close   set rs=nothingend if……————————————————————————————————————————这里,他就简单的判断了fname、newsid、BigClassName、SmallClassName是否为空,然后直接带入数据库。这是个很低级的错误,不知道作者是怎么了?但是,在实际的利用当中利用这个页面还是有不少的问题的。   我在本地模拟了一个惠信新闻系统4.0的环境。发一条新闻Text,(如图2)查看客户端的原文件,调用的页面:http://127.0.0.1/bii/news_count.asp?fname=20050716154148。在这个页面里试试注入。(如图3)难得用手工了,拿出小竹的NBSI2,一下什么都出来了。(如图4)数据库中的密码是经过MD5加密过的。这里很好办,直接调用CMD_Shell执行命令就可以了。默认的是SA,我在网上找找,用的是自己服务器的几乎都是SA权限,虚拟机的想要SA都没有,呵呵!还发现一个好笑的事,在百度里查这个系统输入Redcaff NewsXP MSSQL 4.0,还不如输入在后台登陆时显示的一句话:(你的IP是:  你的操作系统及浏览器是:一切非法登陆将被记录)哈哈,威胁的语言更有用些!还有就是最近发现那些很纯很纯的静态页面仍然有动态的存在,一定要仔细看,呵呵,比如说投票啦什么的!(不说了)                                                      ---By Flyinhearthttps://www.xfocus.net/php/articles.php?sub=preview&aid=43  
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部