風(fēng)訊DOTNETCMS是一款具有強(qiáng)大功能的系統(tǒng)，基于.NET構(gòu)架的內(nèi)容管理軟件，國內(nèi)領(lǐng)先的第一款開源的.集成WEB2.0元素的模塊化的CMS建站系統(tǒng)。 近日有網(wǎng)友在審計(jì)該系統(tǒng)代碼的時(shí)候發(fā)現(xiàn)存在可以利用的漏洞，繞過管理員賬號信息驗(yàn)證，直接進(jìn)入后臺，可謂是非常危險(xiǎn)的一個(gè)利用漏洞。 下面給大家分享一下漏洞細(xì)節(jié)： 先從DotNetCMS的登錄邏輯處代碼分析，如下圖： 驗(yàn)證登錄的邏輯大致可以整理為以下四步 1.從${pre}_sys_User表中取出UserNum,UserName,SiteID 2.如果是管理員，則adminLogined=1;另外，info.uncert的默認(rèn)值為false 3.將UserNum,UserName,SiteID,adminLogined,uncert用逗號隔開組成字符串，再使用源碼內(nèi)的加密算法進(jìn)行加密 4.加密后的字符串寫入cookie，name是SITEINFO 也就是說只要得到UserNum，然后給他加密起來寫入到cookie中，就可以直接進(jìn)入到后臺了。 但是 UserNum是在安裝Foosun CMS時(shí)，隨機(jī)產(chǎn)生的一個(gè)12位的值，如果暴力枚舉的話太耗費(fèi)時(shí)間，也容易被網(wǎng)站管理員發(fā)現(xiàn)。 這時(shí)候需要利用到這系統(tǒng)的另一處注入漏洞，幫助拿到UserNum。 審計(jì)代碼后發(fā)現(xiàn) http://localhost/user/City_ajax.aspx?CityId=1 的CityId字段存在SQL注入漏洞，看下圖：   所以可以在這個(gè)地方拿到 UserNum ，構(gòu)造如下注入鏈接： http://localhost/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin 訪問上面鏈接如下圖：   可以看到已經(jīng)UserNum已經(jīng)顯示出來了。 接下來只要將得到的UserNum代入上面所說的加密方法，得到加密串，寫入cookie即可以成功登陸。 使用該程序建站的站長朋友請盡快更新官方的安全補(bǔ)丁，以免網(wǎng)站被人非法入侵利用。 以上方法步驟僅供技術(shù)學(xué)習(xí)研究，請勿用于非法用途。

本文地址：http://www.gle-technology.com/safety/25643.html