利用新云网站管理系统漏洞成功获取某大型书店Webshell

[align=center]利用新云网站管理系统漏洞成功获取某大型书店Webshell[/align]
[align=left]声明：本文仅做安全技术研究，请勿用来做违法事！[/align]
通过本文可以学到：
①了解新云网站管理系统
②利用新云网站管理系统存在的SQL注入漏洞、文件下载漏洞以及文件暴露漏洞等来获取Webshell
本文通过一个实际案例来介绍如何利用新云网站管理系统的漏洞来获取Webshell，感谢网友逍遥复仇为本文提供了一些素材。
（一）关于新云网站管理系统漏洞
新云网站管理系统是由武汉市新云网络科技有限公司研制的一套管理系统，目前存在多个版本，其对外免费提供下载的版本为2.x。网站管理类系统大都存在SQL注入等漏洞，通过Google、百度等搜索引擎查找“新云 漏洞”等，以及通过对新云网站管理系统Version 2.0.0 ACCESS 免费版进行代码和实际测试分析，发现该版本系统存在多个安全漏洞。
①系统中的articlepost.asp文件存在注入漏洞，具体位置在user/articlepost.asp文件第333行，第333行代码如下：
SQL="select ArticleID,title,content,ColorMode,FontMode,Author, ComeFrom, WriteTime,
username from NC_Article where ChannelID=" & ChannelID & " And username='"
& Newasp.MemberName & "' And ArticleID=" & Request("ArticleID")
代码中直接将Request("ArticleID")放到查询语句里面了，通过分析articlepost.asp文件中的333行上下的代码，没有任何过滤；只要用户发文章的权限均可以可以构造以下SQL注入语句：
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册并登陆的用户可以直接在浏览器上输入以上语句，就可以爆出管理员的表和代码。如果数据库是采用MSSQL的，也可以同样进行利用。另外在同文件夹下的softpost.asp文件存在类似的问题。
②数据库文件下载漏洞。在新云网站管理系统Version 2.0.0 ACCESS 免费版中数据库文件的默认名称为#newasp.mdb，可以直接在浏览器中通过输入地址http://127.0.0.1/database/%23newasp.mdb下载数据库文件。其原理是将“＃”换成“％23”即可下载数据库文件。
③文件暴露漏洞。在网址后直接加上flash/downfile.asp?url=uploadfile/../../conn.asp既可下载conn.asp文件。该文件包含了数据库的实际路径等信息，获取了这些信息可以下载数据库，获取管理员的密码等。
（二）偶遇目标站点
在网上闲逛时，帮朋友弄一份简历，都工作很长时间，老的简历肯定不适用，因此直接到网上去搜索，download下来改一下就OK了，在搜索过程中找到一家提供个人简历的网站，如图1所示，然后试图从中弄点有用的资料下来，爷爷的，是个网站都搞什么VIP收费，不交钱什么事情都干不了。既然要收费，那就看看你的安全做的怎么样？



[align=center]图1 偶遇对象[/align]
（三）从后台寻找关键信息
在网站地址后加上admin后进入后台管理，如图2所示，在该后台页面中可以看到“新云网络”、“新云网站管理系统”字样，由此我们可以判断该系统极有可能采用的是新云网站管理系统。



[align=center]图2从后台寻找关键信息[/align]
技巧：
①网站的后台页面、前台页面以及其它页面极有可能包含一些说明信息，例如开发商的宣传图片、版本、说明等。通过查找这些信息可以进行网站是否采用了现有一些管理系统。
②在对一个网站进行入侵或者安全检测是可以使用telport等软件将网站整个文件全部下载到本地，然后对文字、图片以及内容等进行查看，从中获取有用的信息。
（四）进行漏洞实际测试
进行实际测试，看是否存在文件暴露漏洞，如果存在就下载conn.asp文件。在网址后台地址直接加上“flash/downfile.asp?url=uploadfile/../../conn.asp”，如图3所示，出现文件下载安全安警告提示对话框，单击“保存”按钮将该conn.asp文件下载并保存到本地。



[align=center]图3 下载conn.asp文件[/align]
说明：
①通过浏览器或者其它下载软件下载网站的以后缀为.asp/.asa等文件时，文件虽然下载到了本地，但文件中的内网却是普通html代码内容，这种情况表明该网站asp类文件不能进行下载。
（五）获取数据库的实际地址，下载数据库文件
直接打开下载的conn.asp文件，从中可以看到数据库的实际地址为网站根目录下的database目录下，如图4所示。



[align=center]图4获取网站数据库的名称和实际路径[/align]
在浏览器中输入数据库的实际地址，如果数据中含有#号，则需要将其替换为“%23 ”，例如http://www.somesite.com/database/%23mydatbase.mdb回车即可将其下载到本地。
（六）登陆后台并上传asp木马文件
打开下载的数据库文件，找到并打开“NC_Admin”表，复制password的md5值，然后通过www.xmd5.com等网站或者md5Crack等软件来破解该md5值。成功破解后，使用其来登陆后台管理，成功登陆后台后，选择“下载中心”将asp木马默认后缀“.asp”更改为图片后缀“.jpg”，然后将其上传到网站，如图5所示。



[align=center]图5 上传木马文件到后台[/align]
通过后台查看该网站的用户情况，发现该网站用户数寥寥无几，呵呵，从外表看该网站应是比较专业性的，多个相关域名都在运营，新云漏洞出现的非常早了，都快一年时间了，该网站还存在，看来简历的事情也就算了。
（七）备份数据库得到Webshell
在后台管理中选择“数据备份”将数据库备份为asp文件，备份路径为“\admin\databackup”，备份文件名称为“nohack.asp”如图6所示。



[align=center]图6 备份数据库文件[/align]
测试asp木马是否能够正常运行。在IE浏览器中输入刚才的备份地址：“http://www.***.com/admin/databackup/nohack.asp”，直接打开得到了Webshell，如图7所示。



[align=center]图7 测试并得到Webshell[/align]
至此已经得到了网站的Webshell，后续工作就是提升网站权限，提升权限在本文中不讨论。本文继续探讨如果利用已经获取的信息来进一步的获取更多Webshell。
（九）搜索漏洞关键字
再次从该网站系统中下载config.asp文件，从中可以获取“NewCloud Site Manager System Version 2.0.0”关键字，在Google中输入该关键字进行搜索，搜索结果中获得了5个结果，如图8所示。



[align=center]图8 搜索漏洞关键字[/align]
说明
①依次打开搜索结果，从中得到的是一个about.asp页面，该页面主要是用来说明新云系统，的版本等信息，如图9所示。



[align=center]图9 打开搜索结果[/align]
②从搜索结果中可以获取网站的地址，去掉about.asp后直接访问，结果出现了网站文件的直接列表，这是一个意外收获，如图10所示。



[align=center]图10 获取网站文件列表[/align]
③单击“conn.asp”链接打开该网页，获取网站数据库的实际路径，按照前面的方法下载该数据库。
利用Email地址进行渗透。打开下载的数据库中的NC_User表，从中可以获取注册用户注册名、注册密码以及注册的Email地址等信息，图11所示，将其注册密码md5进行破解，获取其密码，然后依次进行邮箱登陆测试，很多情况下，其使用注册密码来登陆其注册邮箱能够成功。



[align=center]图11 获取数据库中用户的注册信息[/align]
说明
①网站数据库中最重要的信息就是用户的注册信息，其中Email地址和手机号码是垃圾短信和垃圾邮件运营商的重点关注对象。获取这些信息后，运营商就可以发送垃圾短信和垃圾邮件。
②目前还没有包含注册人电子邮件的有效安全措施，一旦网站失陷后，用户的个人隐私信息也就会泄漏，给用户带来一些安全隐患。
小结
本文通过对新云网站管理系统中存在的漏洞的实际测试和运行，成功获得了某一个网站的Webshell，在测试完毕后，通过在Google中搜索新云网站的关键字，又获取了5个存在该漏洞的网站地址，在这些网站中还存在可以直接浏览网站目录和文件，可以很轻易的下载数据库并获取Webshell。网站漏洞受害的不仅仅是网站运营商本身，而且在这些网站注册的用户个人信息也会随之而泄漏，给用户带来一些安全隐患，因此保证网站安全也就保证了注册用户个人隐私的安全。本文出自 “simeon技术专栏” 博客，谢绝转载！