利用新云网站管理系统漏洞成功获取某大型书店Webshell

利用新云网站管理系统漏洞成功获取某大型书店 Webshell

声明：本文仅做安全技术研究，请勿用来做违法事！

通过本文可以学到：

①了解新云网站管理系统

②利用新云网站管理系统存在的 SQL 注入漏洞、文件下载漏洞以及文件暴露漏洞等来获取 Webshell

本文通过一个实际案例来介绍如何利用新云网站管理系统的漏洞来获取 Webshell ，感谢网友逍遥复仇为本文提供了一些素材。

（一）关于新云网站管理系统漏洞

新云网站管理系统是由武汉市新云网络科技有限公司研制的一套管理系统，目前存在多个版本，其对外免费提供下载的版本为 2.x 。网站管理类系统大都存在 SQL 注入等漏洞，通过 Google 、百度等搜索引擎查找“新云 漏洞”等，以及通过对新云网站管理系统 Version 2.0.0 ACCESS 免费版进行代码和实际测试分析，发现该版本系统存在多个安全漏洞。

①系统中的 articlepost.asp 文件存在注入漏洞，具体位置在 user/articlepost.asp 文件第 333 行，第 333 行代码如下：

SQL="select ArticleID,title,content,ColorMode,FontMode,Author, ComeFrom, WriteTime,

username from NC_Article where ChannelID=" & ChannelID & " And username='"

 & Newasp.MemberName & "' And ArticleID=" & Request("ArticleID")

代码中直接将 Request("ArticleID") 放到查询语句里面了，通过分析 articlepost.asp 文件中的 333 行上下的代码，没有任何过滤；只要用户发文章的权限均可以可以构造以下 SQL 注入语句：

articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%201,2,3,4,5,username,password,8,9%20from%20nc_admin

注册并登陆的用户可以直接在浏览器上输入以上语句，就可以爆出管理员的表和代码。如果数据库是采用 MSSQL 的，也可以同样进行利用。另外在同文件夹下的 softpost.asp 文件存在类似的问题。

②数据库文件下载漏洞。在新云网站管理系统 Version 2.0.0 ACCESS 免费版中数据库文件的默认名称为 #newasp.mdb ，可以直接在浏览器中通过输入地址 [url]http://127.0.0.1/database/%23newasp.mdb[/url] 下载数据库文件。其原理是将“＃”换成“％ 23 ”即可下载数据库文件。

③文件暴露漏洞。在网址后直接加上 flash/downfile.asp?url=uploadfile/../../conn.asp 既可下载 conn.asp 文件。该文件包含了数据库的实际路径等信息，获取了这些信息可以下载数据库，获取管理员的密码等。

（二）偶遇目标站点

在网上闲逛时，帮朋友弄一份简历，都工作很长时间，老的简历肯定不适用，因此直接到网上去搜索， download 下来改一下就 OK 了，在搜索过程中找到一家提供个人简历的网站，如图 1 所示，然后试图从中弄点有用的资料下来，爷爷的，是个网站都搞什么 VIP 收费，不交钱什么事情都干不了。既然要收费，那就看看你的安全做的怎么样？

图 1 偶遇对象

（三）从后台寻找关键信息

在网站地址后加上 admin 后进入后台管理，如图 2 所示，在该后台页面中可以看到“新云网络”、“新云网站管理系统”字样，由此我们可以判断该系统极有可能采用的是新云网站管理系统。

图 2 从后台寻找关键信息

技巧：

①网站的后台页面、前台页面以及其它页面极有可能包含一些说明信息，例如开发商的宣传图片、版本、说明等。通过查找这些信息可以进行网站是否采用了现有一些管理系统。

②在对一个网站进行入侵或者安全检测是可以使用 telport 等软件将网站整个文件全部下载到本地，然后对文字、图片以及内容等进行查看，从中获取有用的信息。

（四）进行漏洞实际测试

进行实际测试，看是否存在文件暴露漏洞，如果存在就下载 conn.asp 文件。在网址后台地址直接加上“ flash/downfile.asp?url=uploadfile/../../conn.asp ”，如图 3 所示，出现文件下载安全安警告提示对话框，单击“保存”按钮将该 conn.asp 文件下载并保存到本地。

 

图 3 下载 conn.asp 文件

说明：

①通过浏览器或者其它下载软件下载网站的以后缀为 .asp/.asa 等文件时，文件虽然下载到了本地，但文件中的内网却是普通 html 代码内容，这种情况表明该网站 asp 类文件不能进行下载。

（五）获取数据库的实际地址，下载数据库文件

直接打开下载的 conn.asp 文件，从中可以看到数据库的实际地址为网站根目录下的 database 目录下，如图 4 所示。

图 4 获取网站数据库的名称和实际路径

在浏览器中输入数据库的实际地址，如果数据中含有 # 号，则需要将其替换为“ %23 ”，例如 [url]http://www.somesite.com/database/%23mydatbase.mdb[/url] 回车即可将其下载到本地。

（六）登陆后台并上传 asp 木马文件

打开下载的数据库文件，找到并打开“ NC_Admin ”表，复制 password 的 md5 值，然后通过 [url]www.xmd5.com[/url] 等网站或者 md5Crack 等软件来破解该 md5 值。成功破解后，使用其来登陆后台管理，成功登陆后台后，选择“下载中心”将 asp 木马默认后缀“ .asp ”更改为图片后缀“ .jpg ”，然后将其上传到网站，如图 5 所示。

图 5 上传木马文件到后台

通过后台查看该网站的用户情况，发现该网站用户数寥寥无几，呵呵，从外表看该网站应是比较专业性的，多个相关域名都在运营，新云漏洞出现的非常早了，都快一年时间了，该网站还存在，看来简历的事情也就算了。

（七）备份数据库得到 Webshell

在后台管理中选择“数据备份”将数据库备份为 asp 文件，备份路径为“ \admin\databackup ”，备份文件名称为“ nohack.asp ”如图 6 所示。

图 6 备份数据库文件

  测试 asp 木马是否能够正常运行。在 IE 浏览器中输入刚才的备份地址：“ [url]http://www.[/url]***.com/admin/databackup/nohack.asp ”，直接打开得到了 Webshell ，如图 7 所示。

图 7 测试并得到 Webshell

至此已经得到了网站的 Webshell ，后续工作就是提升网站权限，提升权限在本文中不讨论。本文继续探讨如果利用已经获取的信息来进一步的获取更多 Webshell 。

（九）搜索漏洞关键字

再次从该网站系统中下载 config.asp 文件，从中可以获取“ NewCloud Site Manager System Version 2.0.0 ”关键字，在 Google 中输入该关键字进行搜索，搜索结果中获得了 5 个结果，如图 8 所示。

图 8 搜索漏洞关键字

 说明

①依次打开搜索结果，从中得到的是一个 about.asp 页面，该页面主要是用来说明新云系统，的版本等信息，如图 9 所示。

图 9 打开搜索结果

②从搜索结果中可以获取网站的地址，去掉 about.asp 后直接访问，结果出现了网站文件的直接列表，这是一个意外收获，如图 10 所示。

图 10 获取网站文件列表

③单击“ conn.asp ”链接打开该网页，获取网站数据库的实际路径，按照前面的方法下载该数据库。

  利用 Email 地址进行渗透。打开下载的数据库中的 NC_User 表，从中可以获取注册用户注册名、注册密码以及注册的 Email 地址等信息，图 11 所示，将其注册密码 md5 进行破解，获取其密码，然后依次进行邮箱登陆测试，很多情况下，其使用注册密码来登陆其注册邮箱能够成功。

图 11 获取数据库中用户的注册信息

 说明

①网站数据库中最重要的信息就是用户的注册信息，其中 Email 地址和手机号码是垃圾短信和垃圾邮件运营商的重点关注对象。获取这些信息后，运营商就可以发送垃圾短信和垃圾邮件。

②目前还没有包含注册人电子邮件的有效安全措施，一旦网站失陷后，用户的个人隐私信息也就会泄漏，给用户带来一些安全隐患。

小结

本文通过对新云网站管理系统中存在的漏洞的实际测试和运行，成功获得了某一个网站的 Webshell ，在测试完毕后，通过在 Google 中搜索新云网站的关键字，又获取了 5 个存在该漏洞的网站地址，在这些网站中还存在可以直接浏览网站目录和文件，可以很轻易的下载数据库并获取 Webshell 。网站漏洞受害的不仅仅是网站运营商本身，而且在这些网站注册的用户个人信息也会随之而泄漏，给用户带来一些安全隐患，因此保证网站安全也就保证了注册用户个人隐私的安全。

本文出自 “simeon技术专栏” 博客，谢绝转载！