一、漏洞分析
关于网址导航系统,相信大家都见的多了,基本上都是类似于hao123这样的,而每天我要说的是一款由深度技术(和制作盗版系统的那个论坛不是一家了)出品的导航系统,我们可以很容易的从网上找到这套系统的源码,只有对源码进行分析,技术才能不断的提高。
我下载了深度网址导航系统V3.o.4版并安装到了虚拟机中的Windows系统下,打开其首页直接转入正题,我们来看出问题的文件,也就是位于根目录下的urlGo.asp:
可以看到,在urIGo.asp中并没有防注入代码,继续来看这个文件的两个包含文件connDB.asp和Function.Common.asp。connDB.asp中的代码全是连接数据库的,而Function.Common.asp中的代码比较多,我就不贴出来了,大家可以自己去看,都是定义一些网站全局函数用的,没有任何防注入的代码在里面。到这里相信大家就都清楚了,这套网址导航系统由于urlGo.asp文件没有SQL注人过滤而导致存在注入漏洞。
漏洞已经分析完了,我再补充一下,大家在查看源码的时候可能已经发现在include目录下有SQL_injction.asp这样一个文件。原来这是一个防注入文件,而且是一个过滤的非常完善的防注入文件,我还发现在不少文件中都调用了这个防注入文件,比如urldd.asp,现在我们就完全明白了,原来是作者由于疏忽大意导致urlGo.asp文件中缺少了包含文件SQL_injecton.asp才形成的注入漏洞。
二、漏洞的利用
既然是注入漏洞那就来构造注入语句呗,我简单的讲一下这个注入语句,我们通过查看database目录下的db#url.mdb数据库文件,可以得知管理员用户名是储存在tAdmin表中的,列名是fusername,管理员密码的列名为fpassword。在我虚拟机中这套系统的根目录的URL就是“http://192.168.23.129:8000/”,加上urGo.asp只获取了一个参数id(自由填写),于是完整的语句就应该是http://192.168.23.129:8000/urlGo.asp?id=423%20an%201=2%20unin%20select%201,2,3,4,5,6,7,8,9,10%20frm%20tAdmin。
三、关于拿WEBSHELL
当然,我们入侵的终极目标就是拿到WEBSHELL,如果你的人品足够好,MD5密码也破解出来了,那么就可以来到后台登录页面“http://192.168.23.129:8000/admin/p_login.asp”进行登录了。登录成功后,我们在“数据管理”下会发现一个很醒目的东西一一“恢复数据库”功能。
经过我的尝试,终于找到了备份拿webshell的方法:首先选择“网站基本管理”下的“友情链接管理”,随便找一个友情链接,然后选择“修改”,就会发现出现了上传的页面,我们先上传更改成jpg后缀的asp木马,在上传成功后会出现jpg文件的路径,把它记录下来。
接下来选择“数据管理”中的“恢复数据库”,在“备份数据库路径”中填人刚才我们记录下来的jpg文件的相对路径“../../uploadFile/friendink/2009102060568393.jpg”,在“目标数据库路径”中填入你asp木马的名字,只要是asp后缀的就可以,但要注意路径,备份成功后直接访问“hitp://192.168.23.129:8000/muma.asp”,就成功的拿到了WEBSHELL。
这套系统非常简单,漏洞也很简单,但是查询出来的密码是经过MD5加密的,能不能破解出来还得看运气了,只要进入了后台,WEBSHELL就是你的了。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。