|
测试V4.0,v6.0官网成功
今晚看黑防0905期《四通政府CMS管理系统漏洞》一文,
发现两个问题:
1.在第16页有一段话,
很简单的一句SQL语句轻松的成全了搜索型注入。Title变量获取变量只是简单的过滤掉空格,带入Sql语句,在这里我们要想办法闭合'% , 构造这样一句话 图片新闻测试%' and 1=1 and ' %' =' 就可成功注入。这里的搜索框有长度限制, <input name=txtitle type=Text id=txtitle size=20 maxlength=50 />代码中限定了长度为50个字符。本地做个页面提交就行了。不过我在这里用Union查询不成功,后来用ACIIS码猜解法成功猜解,但是最大的弊端就是猜解很费时间和工夫。
这里很不明白,直接用工具注不就行了吗?作者还为此写了个工具?
2.第15页
在 Form_url变量的第8位起截取 Serv_url长度的字符,如果不匹配的话就表示非法链接。但是我们注入的时候在浏览器中输入注入字符,再提交的话,程序本身获取不到Form_url 变量,所以提示非法连接,但是Request.ServerVariables("HTTP_REFERER")这个变量从理论上是可控变量,可以拿来伪造,由于本人技术有限在百度上查找了很长时间也没找到成功的方法
NBSI3就有自定义REFERER的功能,除此之外还有其它方法
看到这里,想想这个页面可能可以直接union出管理员密码来,于是下载了一套4.0的系统测试,有点晕,数据库zf11.mdb的表还隐藏起来,工具-选项-视图-隐藏对象,看到所有表,可以看到zf11_d_news有25个字段,我们就可以select * from zf11_d_news where id=1 union select top 1 1,username,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 from admin直接得到管理的用户名
select * from zf11_d_news where id=1 union select top 1 1,username,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 from admin管理员的密码
具体利用方法就不说了,毕竟大多是政府网站。
搞得我睡这么晚
|
| |
|
推荐
评论(0条)
