利用新云网站管理系统漏洞成功获取某大型书店Webshell
2024-05-02 15:46:36
利用新云网站管理系统漏洞成功获取某大型书店Webshell
声明:本文仅做安全技术研究,请勿用来做违法事!
通过本文可以学到:
①了解新云网站管理系统
②利用新云网站管理系统存在的SQL注入漏洞、文件下载漏洞以及文件暴露漏洞等来获取Webshell
本文通过一个实际案例来介绍如何利用新云网站管理系统的漏洞来获取Webshell,感谢网友逍遥复仇为本文提供了一些素材。
(一)关于新云网站管理系统漏洞
新云网站管理系统是由武汉市新云网络科技有限公司研制的一套管理系统,目前存在多个版本,其对外免费提供下载的版本为2.x。网站管理类系统大都存在SQL注入等漏洞,通过Google、百度等搜索引擎查找“新云 漏洞”等,以及通过对新云网站管理系统Version 2.0.0 ACCESS 免费版进行代码和实际测试分析,发现该版本系统存在多个安全漏洞。
①系统中的articlepost.asp文件存在注入漏洞,具体位置在user/articlepost.asp文件第333行,第333行代码如下:
SQL="select ArticleID,title,content,ColorMode,FontMode,Author, ComeFrom, WriteTime,
username from NC_Article where ChannelID=" & ChannelID & " And username='"
& Newasp.MemberName & "' And ArticleID=" & Request("ArticleID")
代码中直接将Request("ArticleID")放到查询语句里面了,通过分析articlepost.asp文件中的333行上下的代码,没有任何过滤;只要用户发文章的权限均可以可以构造以下SQL注入语句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册并登陆的用户可以直接在浏览器上输入以上语句,就可以爆出管理员的表和代码。如果数据库是采用MSSQL的,也可以同样进行利用。另外在同文件夹下的softpost.asp文件存在类似的问题。
②数据库文件下载漏洞。在新云网站管理系统Version 2.0.0 ACCESS 免费版中数据库文件的默认名称为#newasp.mdb,可以直接在浏览器中通过输入地址[url]http://127.0.0.1/database/%23newasp.mdb[/url]下载数据库文件。其原理是将“#”换成“%23”即可下载数据库文件。
③文件暴露漏洞。在网址后直接加上flash/downfile.asp?url=uploadfile/../../conn.asp既可下载conn.asp文件。该文件包含了数据库的实际路径等信息,获取了这些信息可以下载数据库,获取管理员的密码等。
(二)偶遇目标站点
在网上闲逛时,帮朋友弄一份简历,都工作很长时间,老的简历肯定不适用,因此直接到网上去搜索,download下来改一下就OK了,在搜索过程中找到一家提供个人简历的网站,如图1所示,然后试图从中弄点有用的资料下来,爷爷的,是个网站都搞什么VIP收费,不交钱什么事情都干不了。既然要收费,那就看看你的安全做的怎么样?
图1 偶遇对象
(三)从后台寻找关键信息
在网站地址后加上admin后进入后台管理,如图2所示,在该后台页面中可以看到“新云网络”、“新云网站管理系统”字样,由此我们可以判断该系统极有可能采用的是新云网站管理系统。
图2从后台寻找关键信息
技巧:
①网站的后台页面、前台页面以及其它页面极有可能包含一些说明信息,例如开发商的宣传图片、版本、说明等。通过查找这些信息可以进行网站是否采用了现有一些管理系统。
②在对一个网站进行入侵或者安全检测是可以使用telport等软件将网站整个文件全部下载到本地,然后对文字、图片以及内容等进行查看,从中获取有用的信息。
(四)进行漏洞实际测试
进行实际测试,看是否存在文件暴露漏洞,如果存在就下载conn.asp文件。在网址后台地址直接加上“flash/downfile.asp?url=uploadfile/../../conn.asp”,如图3所示,出现文件下载安全安警告提示对话框,单击“保存”按钮将该conn.asp文件下载并保存到本地。
图3 下载conn.asp文件
说明:
①通过浏览器或者其它下载软件下载网站的以后缀为.asp/.asa等文件时,文件虽然下载到了本地,但文件中的内网却是普通html代码内容,这种情况表明该网站asp类文件不能进行下载。
(五)获取数据库的实际地址,下载数据库文件
直接打开下载的conn.asp文件,从中可以看到数据库的实际地址为网站根目录下的database目录下,如图4所示。
图4获取网站数据库的名称和实际路径
在浏览器中输入数据库的实际地址,如果数据中含有#号,则需要将其替换为“%23 ”,例如[url]http://www.somesite.com/database/%23mydatbase.mdb[/url]回车即可将其下载到本地。
(六)登陆后台并上传asp木马文件
打开下载的数据库文件,找到并打开“NC_Admin”表,复制password的md5值,然后通过[url]www.xmd5.com[/url]等网站或者md5Crack等软件来破解该md5值。成功破解后,使用其来登陆后台管理,成功登陆后台后,选择“下载中心”将asp木马默认后缀“.asp”更改为图片后缀“.jpg”,然后将其上传到网站,如图5所示。
图5 上传木马文件到后台
通过后台查看该网站的用户情况,发现该网站用户数寥寥无几,呵呵,从外表看该网站应是比较专业性的,多个相关域名都在运营,新云漏洞出现的非常早了,都快一年时间了,该网站还存在,看来简历的事情也就算了。
(七)备份数据库得到Webshell
在后台管理中选择“数据备份”将数据库备份为asp文件,备份路径为“\admin\databackup”,备份文件名称为“nohack.asp”如图6所示。
图6 备份数据库文件
测试asp木马是否能够正常运行。在IE浏览器中输入刚才的备份地址:“[url]http://www.[/url]***.com/admin/databackup/nohack.asp”,直接打开得到了Webshell,如图7所示。
图7 测试并得到Webshell
至此已经得到了网站的Webshell,后续工作就是提升网站权限,提升权限在本文中不讨论。本文继续探讨如果利用已经获取的信息来进一步的获取更多Webshell。
(九)搜索漏洞关键字
再次从该网站系统中下载config.asp文件,从中可以获取“NewCloud Site Manager System Version 2.0.0”关键字,在Google中输入该关键字进行搜索,搜索结果中获得了5个结果,如图8所示。
图8 搜索漏洞关键字
说明
①依次打开搜索结果,从中得到的是一个about.asp页面,该页面主要是用来说明新云系统,的版本等信息,如图9所示。
图9 打开搜索结果
②从搜索结果中可以获取网站的地址,去掉about.asp后直接访问,结果出现了网站文件的直接列表,这是一个意外收获,如图10所示。
图10 获取网站文件列表
③单击“conn.asp”链接打开该网页,获取网站数据库的实际路径,按照前面的方法下载该数据库。
利用Email地址进行渗透。打开下载的数据库中的NC_User表,从中可以获取注册用户注册名、注册密码以及注册的Email地址等信息,图11所示,将其注册密码md5进行破解,获取其密码,然后依次进行邮箱登陆测试,很多情况下,其使用注册密码来登陆其注册邮箱能够成功。
图11 获取数据库中用户的注册信息
说明
①网站数据库中最重要的信息就是用户的注册信息,其中Email地址和手机号码是垃圾短信和垃圾邮件运营商的重点关注对象。获取这些信息后,运营商就可以发送垃圾短信和垃圾邮件。
②目前还没有包含注册人电子邮件的有效安全措施,一旦网站失陷后,用户的个人隐私信息也就会泄漏,给用户带来一些安全隐患。
小结
本文通过对新云网站管理系统中存在的漏洞的实际测试和运行,成功获得了某一个网站的Webshell,在测试完毕后,通过在Google中搜索新云网站的关键字,又获取了5个存在该漏洞的网站地址,在这些网站中还存在可以直接浏览网站目录和文件,可以很轻易的下载数据库并获取Webshell。网站漏洞受害的不仅仅是网站运营商本身,而且在这些网站注册的用户个人信息也会随之而泄漏,给用户带来一些安全隐患,因此保证网站安全也就保证了注册用户个人隐私的安全。
本文转自 simeon2005 51CTO博客,原文链接:
http://blog.51cto.com/simeon/51079
利用新云网站管理系统漏洞成功获取某大型书店Webshell相关推荐
- 新云网站管理系统最新版注入漏洞
受影响系统: 新云网站管理系统最新版 发现人的BLOG: http://sobiny.cn 发现日期: 2006年10月中旬 发布日期: 2007年6月上旬 安全综述: 新云网站管理系统是一个采用AS ...
- php新浪获取ip接口,【php】利用新浪api接口与php获取远程数据的步骤,获取IP地址,并获取相应的IP归属地...
[php]利用新浪api接口与php获取远程数据的方法,获取IP地址,并获取相应的IP归属地 本文与<[Servlet]Javaweb中,利用新浪api接口,获取IP地址,并获取相应的IP归属地 ...
- php查询ip归属地api接口_【php】利用新浪api接口与php获取远程数据的方法,获取IP地址,并获取相应的IP归属地...
本文与<[Servlet]Javaweb中,利用新浪api接口,获取IP地址,并获取相应的IP归属地>(点击打开链接)为姊妹篇,只是后端编程语言换成了php. 做出同样的效果,打开页面,得 ...
- 支持精确、主动防护,华为云网站安全解决方案高效可信赖
随着互联网技术的发展和企业数字化转型升级的加快,各种信息安全层出不穷,数据信息安全也引起了业内外的广泛重视.根据相关数据显示,当下信息安全攻击中超过75%都发生在Web应用层上,这种攻击可能造成包括数 ...
- Hack The Box - Meta 利用Exiftool远程代码执行漏洞获取webshell,ImageMagrick命令执行漏洞横向提权,更改环境配置SUDO纵向提权
Hack The Box - Meta Hack The Box开始使用流程看这篇 文章目录 Hack The Box - Meta 整体思路 1.Nmap扫描 2.Exiftool远程代码执行漏洞( ...
- android 最新漏洞 root,新漏洞可获取root权限 所有安卓机躺枪
原标题:新漏洞可获取root权限 所有安卓机躺枪 [中关村在线软件资讯]10月25日消息:Android系统的安全问题可以用源源不断来形容,最近一个新的严重漏洞被发现,该漏洞甚至可以获取root权限. ...
- 利用XP ie浏览器的漏洞获取shell
实验环境:kali linux.windows XP Professional SP3. 实验工具:metasploit framework 功能实现模块:use exploit/windows/br ...
- AI in WAF︱腾讯云网站管家 WAF:爬虫 Bot 程序管理方案
案例是说明一件事情最有力的辅证 某大型生活服务类站点被爆简历数据被恶意爬虫泄露: 某二次元文化社区站点原创内容被恶意爬虫遭侵权: 航空公司被爬虫恶意低价抢票: 外卖平台用户数据泄露. 恶意爬虫 Bot ...
- 数据安全不容忽视,华为云网站安全为企业保驾护航
近年来,全球网络空间和信息技术快速发展,高危漏洞.大流量DDoS攻击.黑客攻击.数据泄露事件屡见不鲜,层出不穷的威胁让企业安全面临更大的挑战.基于此,华为云推出了针对企业网站安全的解决方案--华为云安 ...
最新文章
- zabbix 安装时的报错mysql_connect(): Access denied for us
- 1013 Battle Over Cities (25分)(用割点做)
- 光刻机龙头ASML回应韩国建厂:无需过度解读
- 基于ARP的网络扫描工具netdiscover常用命令集合大学霸IT达人
- 数据中心机房建设几个重要的国家标准
- 第四章例题、心得及问题。
- Java 9模块系统(拼图)@ LJC的HackTheTower
- Spring的Lifecycle
- WebSocket的简单实现
- 联想集团委任杨澜为独立董事:任期三年年薪235万元
- 4.4.4 无锁的对象引用:AtomicReference和AtomicStampedReference
- 对python语言的认识_认识Python语言和基础知识
- bartlett方差齐性检验_仅有两独立样本的样本量、均值和标准差,在SPSS进行T检验...
- 五级自动驾驶分级_关于确保自动驾驶汽车安全的五件事
- iOS 【适配iPhone XR/iPhone XS Max】
- go基准测试bench
- 天津计算机专业专科大学排名,天津的计算机专业大学排名
- 全国道路运证基本信息查询服务器,道路运政管理信息系统.doc
- linux 查看系统命令
- Scala类和成员变量的讲解。