Modoer2.5系统0day漏洞及渗透演示

随便找了一个Modoer2.5的网站,用社工拿到管理员密码,过程不赘述了,直接上后台的截图

表示是IIS6.0的服务器,漏洞会比较多,安全性很一般
看到数据库备份是不是眼前一亮,点进去

看来系统做了限制,只能保存为sql格式的文件,也不能改名,此路不通
继续随便逛逛,发现在安全设置图片上传这一块,可以任意定义图片格式,随手填了个PHP,居然保存成功了,汗~

既然这样那就不客气了,直接上一句话木马
建一个记事本,保存为php格式

上传试试

未知的图片格式~ -_-b,果然没有这么简单,初步判断有两种情况
①上传程序限制了php,asp等的脚本常用格式的上传
②程序对图片的二进制特征码进行了检索,比如存在类似 if (File.ContentType == “image/pjpeg”) 的判断
分析了一下,如果是第一种情况,那么把test.php改名为test.jpg就可以上传成功,尝试之后,结果还是显示未知的图片格式,所以基本可以判断是第二种情况(当然有可能双重验证 -_-||)

针对第二种验证机制,我们可以伪造一个带有图片特征码的木马,或者说把木马写入图片中
这里要用到一个16进制编码修改工具UE
打开UE,把图片直接拖进去,就可以看到图片的16进制编码

我们直接把这句话复制粘贴到图片编码的最末尾
为了避免

如上图所示,已经将一句话木马插入图片中了,果然前面的xxx被吃掉了一个。。。
接下来保存成test2.php
上传试试,成功!

我们看一下图片的地址

后缀名是php的,用菜刀连连看,Bingo!可以访问D盘下的所有目录,看来权限还是比较大的

上文已经知道这是一个IIS6.0的服务器,漏洞还是比较多的,提权的可能性也比较大,介于时间的关系,本期的渗透就到这里
本漏洞影响目前Modoer所有版本,危害极大,0day漏洞目前已提交至 wooyun.org
以上过程仅供技术交流,请勿用于非法用途

BeiTown
2012-11-28

本文链接:Modoer2.5系统0day漏洞及渗透演示

转载声明:BeiTown原创,转载请注明来源:BeiTown's Coder 编码之源,谢谢


Tags: , , , , ,

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>