动易网站管理系统最新漏洞解析Ii霖地址呢7主要原因有两个,一是当用户访问我们的页面时可能已经登录过了:二是即使对方没有登录,也不一定非要在我们的页面上登录.而本文介绍的方法会以覆盖掉原页面的方式强迫用户登录.当然,我的那个表单制作得简单了些,如果把登录的表单做得跟Sohu的极为相像的话,那么我相信大部分人会中招.不过,我这里还是给大家提供一下直接修改原Form表单的演示脚本吧,内容很简单,只要在脚本里~BForm的Action进行重新赋值就可以了,具体代码如下所示.适合读者入侵爱好者前置知识ASP语言动易网文/图TTFCT好了,文章到这里就结束了.由于行文仓促,文中不免有失误之处,望大家谅解!通过本文,希望大家能借助我提供的思路扩散思维,发现更好的新思路,比如用别人允许的东西做出想要的效果来.最后,我祝大家新年玩的快乐,跨的快乐!(文中所涉及的程序或代码,请到黑防官方网站下载,详细地址请看公共论坛置顶帖)J由于某种原因,一个朋友叫我帮忙分析动易网站管理系统的漏洞.我们知道,前段时间动易暴出了众多漏洞,官方肯定对代码进行了更严格的审核,再加上动易好多代码都封装在DLL中,要找出其中的漏洞,我开始真的觉得没什么可能性.不过自己还是按照朋友的要求到动易官方网站http:// 下载了动易内容管理系统2006SP4 普及版进行分析.嗣涓分析看代码的那段时间是艰苦的,不过坚持者终会胜利.第一次看动易代码,查找了80%的文件,居然没有看到~处可以注入的地方,后来开始查找Admin目录下的Admin_Login.asp文件,发现了一点问题.Admin—Login.asp文件中第162~227行的代码如下所示.SubChkLogin()//璧录捡童函数Dimsell,rsDimUserName,Password,CheckCode,r0ld.AdminLoginCodeUserName=ReplaceBadChar(Trim(Request ("UserName")))Password=ReplaceBadChar(Trim(Request("P{Issw0州")))CheckCode=LCase(ReplaceBadChar(Trim(Request(,CheckCode"))))?//R.}pl细∞r矗羹鼍jl了加亏.串孽It.括号等,巴簟不蠢再夥囊注入AdrainLoginCode=Trim(Request("AdminI0ginC0[))//取疆后台譬曩认崔碍IfCSng(ScriptEngineMajorV ersion&tiff& ScriptEngineMinorV ersion)<5.6ThenFoundErr=TrueErrMsg=ErrMsg&qi>服务器脚本解释引擎(VBScript)版本过低,请联系员更新.</1i>ErrMsg=ErrMsg&"司i><ahref=http://www.Ⅱli∞0fLo咖,d呻n妇ds/re】船蠲艘e蛔阮II)=33l36target=r_blankr><fontcolor=rgreenr>脚本解释引擎下载t@AJ[</ font></aX/1.i>rrEndIfIfUserName="Then//晨户名者室嗣提示铮误:晨户名不蠢力室l井农r-oundBrr=Tru#FoundErr=篓旦曼望)脚本小子)跗?iptsbollE蚕ErrMsg=ErrMsg&,,<brxli>m~a<能为空!</1HEndIf.IfPassword:"II//啻碍为室姻提示膏误啻碍不蠢为室l冀gmmdErr=TrueFoundErr=True空!</1_井ErrMsg=ErrMsg&,,<brxli>密码不能为EndIfIfCheckCode=HThen//t证碍为室姻提示膏误;奠证碍不蠢为室l井冀F~ndErr=TrueFoundErr=TrueErrMsg=ErrMsg&"<br)司i>验证码不能为空!</1"EndIfIfTrim(Session(,CheckCode")):fillTh饥FoundErr=TrueErrMsg=ErrMsg&"<br><u>你在管理登录停留的时间过长,导致验证码失效.请重新返回登录页面进行登录.</li>EndIfIfCheckCode◇Session(,CheckCode,,Then//拳竞产生的■蕾碍和●入的不一致,财睫晕巷●入的■证碍和拳竞产生的不一致,诗童新输入.井冀F~ndErr=TrueFoundErr=TrueErrMsg=ErrMsg&<br><li>您输入的验证码和系统产生的不一致,请重新输入.</li>EndIfIfEnableSiteManageCode=TrueAndAdminLoginCode◇SiteManageCodeThen//后台警曩认证碍不对姻提示话误;巷●入●,后台譬曩认证碍不对,请童新●入.井使Fa嚏mc乜兰rr=True FoundErr:TrueErrMsg:ErrMsg&l<br)司i>您输入的后台管理认证码不对,请重新输入.</li>?,EndIfIfFoundErr=TrueThen//如果I=~ndErr:True,姻避出sl|b过疆.ExitSubEndIfComeUrl=Trim(Request.ServerV ariables('HTTP_REFERER,))//运置取得HTTP—REFERER的值,■干HTTP_REFERER可伪造,故CouLIrL对魂们穰重要.Password=MD5(Password,16)Setrs=Server.CreateObject(.adodb.recordset.)sql=select?fromPE—AdminwherePass-word='"&Password&llandAdminName=,,,&UserName &H'"码错误!rs.()pensql,Corm,l,3Ifm.bofAndrs.EOFTh既//如果溲宥童我,l用户,姻使Fa"日t为True.FoundErr=TrueErrMsg=ErrMsg&"<br>司i>用户名或密!!</li下面我们再看看InsertLog()函数是怎么写的.同样,在admin—Iogin.aspR~第295~312行的代码如下:看完上面的代码后.我们来分析一下登录页面的执行流程.首先.用户名,密码和验证码都经过了j过滤.然后判断用户名,密码和验证码是否为空.为空的话再判断验证码.后台管理认证码的正确性,如果上面任意一项没有通过,则退出Sub过程.如果退出了Sub过程,我们就无法利用了.如果通过了.就≯一0;譬髦《嚣肇■一萎取得HTTP—REFERER的值,然后再判断用户名和密码的正确性.如果用户名和密码中的任意一个不对,那么都将使FoundErr的值为True.一旦FoundErr为True,程序就调用InsertLog()函数插入数据库,~,ComeUrl作为它的第六个参数传递.由于HTTP—REFERER可以伪造,所以我们可以使其值为一段跨站代码或挂马代码.不过,由于上面的过程要使后台管理认证码正确,这的确是很不容易办到的.假如认码没有改的话,我们就可以利用了,不过机率很小.关于HTTP—REFERER的伪造,我这里就不多说了.大家可以去百度查看相关文章.为了方便大家使用,我这里已编好一个伪造HTTP—REFERER的工具reffer.exe",并随文提供给大家了.上面发现的漏洞,可以说利用价值不大,不过,下面的漏洞对于动易网站管理系统来说,就是致命的了.此漏洞存在于User目录下的User—saveflash.asp文件中,其第6~22行代码如下所下面我们一起来看看函数CoverColorFile()的代ChrB(0)&ChrB(0)&ChrB(54)&ChrB(0)& ChrB(0)&ChrB(0)&ChrB(40)&CtlrB(0)&_ ChrB(0)&ChrB(0)&ChrB(172)&ChrB(0)& CllrB(O)&ChrB(0)&ChrB(130)&ChrB(0)&一ChrB(0)&ChrB(0)&ChrB(1)&ChrB(0)& ChrB(24)&Ct~B(o】&ChrB(0)&Ct~B(0)&_ CllrB(o)&CllrB(o)&ChrB(~)&ChrB(250)& CbxB(1)&CbxB(0)&Chra(0)&CbxB(0)&- ChrB(0)&ChrB(0)&ChrB(0)&ChrB(0)& ChrB(0)&CbxB(0)&CbxB(0)&Chra(0)&-ChrB(0)&ChrB(0)&ChrB(0)&ChrB(0)&Ct曲(o)&CflrB(o)Resp0fl.BinaryWriteheadwhichfile=trim(request("color_url")),//whichf札e由用户提交的color_ur&而泰SetColortxt=fso.OpenTextFile(server.mappath(whichhle),1)//跌只读方式打开用户囊突的更twhichfi&e,逮量取疆的置文件rline=Colortxt.ReadLine//读取文件一行badwo~s=spht(rline,nIII)//以.I捧分孺C~ortxt.Closefso.deleteFile(server.maPlmth(whichflle))//逮句孰置疆羽T,毙句的停用置■除文件.由干whichft&e由.1|户提交罱泰,又j更,尊蕞过任何安全建曩,所以便枸囊疆羽T.如果魂宙让cotorurL=../conn.唧,辱么靛直接■玲coP#1.唧文件了,舟桴,戗匍可取让c,olor_ur&为站肉任一文件,曩后,魂们可以■除全站的文件.fori=OtoUBound(badwords)Response.Bina巧rWriteto3(badwords(i))nextEndSub有了上面的漏洞,我们就一起去测试一下官方网站,看看是否存在此漏洞吧.打开官方演示网站,如图1所示,我们就以动易的Logo作测试吧.查看其路径,发现在images目录下,名为iogo.g_f,如图2所示.图1图2l'\三c星anorl医\)栏目编辑)脚本小于)盯iptsboy@hack.■il1 现在.我们注册一个用户,然后进入会员中心.在URL处填入/User/ User——saveflash.asp?act=aa&color_urI=../images/logo.g.f.如图3所示.成功提交之后.返回到首页.现在我们可以看到,官方仍然存大此重大漏洞.如图4所示,官方Iogo.gif处变成了一个红又.说明已被删掉.图5图4除此之外.动易还存在一处漏洞,下面我们一起来分析.count目录下的Counter.asp文件中的第203~27O行的代码如下所示.Agmt=Request.ServerV arJables("Hn,_USER_AG~N'T")//囊疆}frTPlJs日t^觥值Am~t=SpliKAsmt,":")//致分号棒分陌,兜时Agen~为一t组.Bc∞删IfIllstr(A鄹t(1),"U")OrInstr(Agent(1),plp)ThenBc'~l//扣.1Agent(1)申有字符U最字符l,廓么&Type的值为lIfInSA舯t(1),"MSIEP)ThenBcTy~=2//Agent(1)中有字符HSIE,邗么BcType的值为2CaseB(脚CaseO-Bn)w~r=p其它".sb锄="其它"Casel://如秉&锖值为lV er=Mid(Ase~t(0),zns~,ent(o),"/")+1)//从Agent(o)申找一/纂一炭出曩的位置.疆一的是一个t字,蒜后将兜字加l后,再使用Hld蕾t曩囊从谈t孛开始,l一字符●结束的所有字符,将其赋I佳~tV orIV er=Mid(V er,l~V er,"")一1)接下来再看看UpdateVisit()中的代码由于HTTP_USER—AGENT可以伪造.且只将空格替换成了没有空格,所以还是存在漏洞的.此漏洞为注入漏洞.不过利用起来很不容易.Browser=Left (Browser.20)这个代码SP.Browser限制到只有2O个字符.要想利用,我们要使BCType的值为1或者为2.要使BCTYPe的值为1.必须包含字符"u"或字符"I要使BcTYPe的值为2,必须包含"MSIE"4个磊蓑辇辫秘嚣鬻l■舅蚕适合读者入侵爱好者前置知识:无测试蓝色伊人000文/图花非花[1.s.T】&&[L_s.T】不知大家还记得有一款以淡蓝色为主色调的留言本不7对,就是蓝色伊人留言本.记得有高手曾经公布了这款程序的漏洞,当初我有幸学习了.今天偶然看见了一款仍以淡蓝色调为主色调的下载系统,而刚刚好.这款系统就叫蓝色伊人下载系统,作者仍是"蓝色伊人".这两个"蓝色伊人"是否为同一个.还有待考证!下面.就让我们一起来测试一下这款下载系统吧!着涓分祈1)注入漏洞我们先来看看soft.asp文件中的部分代码.softi.d=requesLqueryng("80托d")……省略无关代码……:..select?fromtWhel-eid="&soldsetrs=8ezver.create曲ect("adodb.tecordset")rs.opensql.corm,3,3其中,SQL是一个变量,用来存储SQL查询语句"select}fr0msoftwhereid="&softid",然后执行SQL保存的语句.而这个SOftid是通过request. querystring方法从客户端获取的软件ID.我们看到了.直接用request.querystring方法获取数据,没有过滤!这样,就造成了注入漏洞.2)后台验证过滤不严----aim---------------------_-__-__________-__-_------------- 字符.所以,BcType的值为1时,可供我们输入的还有194-字符,BcType的值为2时,可供我们输入的只有16个字符.虽然有漏洞.但是利用价值也不大.实属可惜.修替方弦,对于第一个漏洞,由HTTP—REFERER造成的小小——强一对于第二个删除任意文件的漏洞,最好不要从外部接收数据,要么就删除代码fS0.deIeteF.Ie (server.mappath(whichfile)).对于第三个由于HTTP_USER_AGENT可以伪造导致的问题.我们可以把单引号过滤.用于修补的代码如下所示.至此.动易内容管理系统的漏洞就分析完毕了.虽说拿不到WebSheli.但对动易来说.存在的漏洞仍是致命的.利用第二个漏洞搞破坏太容易了.希望大家看了以后.不要去搞破坏哦.还在使用动易系统的朋友,记得快去可以修补漏洞啦! (文中所涉及的程序或代码,请到黑防官方网站下载,详细地址请看公共论坛置顶帖)仂。
