危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612839

玩转网趣shopV9.7注入漏洞

8月初我在朋友的博客里看到了网趣网上购物系统V9.7的注入漏洞,于是就从网上下载了一套源码,在虚拟机里进行了测试,成功的爆出了管理员的帐号和密码,同时也成功的得到了网站的Webshell,漏洞文件是根目录下的priceasp文件,因为变量没有经过任何过滤就直接带人了数据库查询,所以就产生了漏洞,我们可以在百度中以inurl:Price,asp?anid-作为关键字进行搜索,然后来批量拿站。

下面我们来看漏洞的详细利用,在虚拟机里把这套系统搭建好,想要爆出管理员帐号和密码,大家只要直接在网站地址后面添加上pricasp'?anid-36%20and%201=_2n/020union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,t4tl5,admin,17,18,19,20,21,22s23,24,21,26,27:p as sword,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20fr om n/020c nh w提交即可。

“商品序号”中显示的是管理员的用户名,“会员价”中是管理员经过MDs加密后的密码,我们把密码拿到在线MD5网站上去破解,得到明文密码为“admin”,当然我们也可以使用阿D注入工具来批量拿站,只要在啊D的设置中添加一个“cnhww”的表名,然后选择相应的网站就可以开始爆破了。

网趣网上购物系统的默认后台是“/admin/login.asp”,接下来我们登录进入后台拿Webshell,毕竟这才是本文的重点,网上虽然有人说可以直接进入后台备份数据,但是我按照常规的上传图片然后数据库备份的方法试了一下,结果没有成功,这也让我联想到了以前危险漫步的一篇的文章,在文章中他也提到了利用这种方法是行不通的。我们来看一下他提供给我们的另外一种获取Webshell的方法,首先我们来到“数据库备份”操作区,在“备份数据库目录”选项中把原有的Databackup目录修改为Databackup_asp(注意不要省略前面的点号),然后点击“备份”,就会出现成功页面,而且会在根目下生成一个Databackup,asp文件夹,这样我们就可以在该目录下上传图片木马,然后利用IIS解析漏洞来成功获得webshell了。

按下来我们在“添加商品”处单击“上传小图片”,在弹出的网址中,把“upfile/proimage”修改成“databackup.asp”这个目录,改变上传目录的提交参数,提交后,在新的页面中上传我们的图片木马,图片木马上传成功了,并且我们得到图片上传地址为“databackup.asp/20108201264073740.jpg”,好了,接下来重组一下地址,使用一句话客户端连接,看看能否成功,一句话木马成功连接,并且在同目录下生成了小马。

网趣网上购物系统还为我们提供了一个论坛,其实利用这个论坛我们也可以成功获得Webshell的,论坛的帐号和前台的基本一样默认不变,首先我们要在论坛上传一个一句话的图片木马,然后登录论坛的管理中心,默认路径是“bbs/admin”,直接在后台添加“data.as p?action=compressdata2&go-start”提交,就可以直接跳转论坛备份数据的地方,注意这个在后台的管理面板中可是没有的,来到论坛数据库备份的地方,在“当前数据库路径”中填写上传图片木马后得到的地址,上传后的图片都是默认保存在论坛根目录下的Uploadfile\TopicFile文件夹中,图片都会重新命名,我们可以在帖子中右键点击图片选择属性来查看上传后图片的重新命名。

我们在“当前数据库路径”中填写“Upload file\TopicFile\201 08201233446.j pg”,其它的可以默认保持不变,最后单击“开始备份”按钮+我们的小马就备份成功了,最后得到备份后的小马路径“c:\inctpub\wwwroot\bbskadmin\databak\20.asp”,把它放到一句话木马的客户端中去连接,连接成功,至此关于网趣网上购物系统的两种后台拿webshell的方法就为大家介绍完毕了。