科讯kesioncms 5.5以下漏洞拿shell方法的原理总结

科讯kesioncms5.5以下漏洞拿shell方法的原理总结

科迅作为一个强大的cms程序流，大多被政府部门的教育机构网站使用，网上关于科迅的漏洞利用教程的例子并不多。

科讯作为一个强劲的cms程序流程大多数被政府部门教育组织网址所应用，有关科讯的漏洞利用实例教程在网上并不是许多。因为科讯的后台管理必须键入认证码，而认证码沒有储存在数据库查询只是储存在asp文件中，因此在某种意义上扩大了拿shell的难度系数。下边就个版本拿shell的方式做一汇总。
KesionCMSV3.x和3.x下列版本
在网上有0day专用工具但是沒有实际基本原理，下边就讲一下手工制作拿shell的方式
关键词：inurl:user/Login.asp密码忘了?假如你密码忘了请点一下inurl:user/userreg.asp小贴士：在键入登录名后，能够全自动查验您要想的登录名
第一步：申请注册客户，还可以立即用adminadmin888一般管理人员都没改这一登陆密码。
第二步：在个人信息那边提交gif小马头像
第三步：点一下工具栏中的服务站文档管理。大家提交的gif小龙就在upface文件夹里，要是把文件夹名改为upface.asp既可运作小龙了。关键是文件夹名称中过虑了”.”没法立即重新命名这儿大家用当地html递交的方式来绕开限定。

第四步：在文件夹管理方法的文本框中点一下鼠标右键将网页页面源文件储存为当地html。
第五步：在文件夹对话框上挑选upface文件夹拷贝其快捷方式图标，如http://www.xxx.com/user/user_files.asp?ChannelID=0&topdir=/Upfiles/User/admin3/&action=Main&OpTypeStr=&CurrentDir=upface.asp
第六步：用文本文档开启刚刚储存的html文档改动重要编码，这儿要改动多处，第一处递交详细地址改动，递交地
址大家要是将全部的？号更换为http:///user/user_files.asp?（这一详细地址根据刚刚复
制的哪个详细地址比照获得）既可，详细情况自身剖析源代码。
第二处文档过虑改动，在第84行上下有以下字段名
functionIsStr(w)
{
varstr=“abcdefghijklmnopqrstuvwxyz_1234567890″
w=w.toLowerCase();
鲜红色一部分即是文件夹名所应用的标识符，大家要是在这其中添加“.”既可。进行后储存运作就可以将文件夹重新命名问xx.asp的方式了。

========================一部分源代码======================
functionChecked()
{
varj=0
for(i=0;iabcdefghijklmnopqrstuvwxyz_1234567890″标识符过虑
w=w.toLowerCase();
varj=0;
for(i=0;i
form：http://hi.baidu.com/timeless2008/
=============================================================
KesionCMSV4.x和v5.x版本
改动了版本3存有的系统漏洞。只有根据后台管理备份数据拿shell
关键词：inurl:/KS_Data访问文件目录系统漏洞，可直接下载数据文件。
挖机：KesionCMS5.mdbKesionCMS4.mdb
获得登录名和登陆密码登录后台管理提交gif木马病毒，记牢途径。
随后转到/admin/ks.database.asp?action=backup网页页面，

它是备份数据数据库查询的网页页面，但是默认设置状况下我们无法键入小龙途径，我们在www.xxx.com/admin/ks.database.asp?action=backup网页页面点鼠标右键储存源代码为当地html方式，随后用文本文档开启改动当今数据库查询途径，运作html文件备份就可以取得shell。

======================一部分源代码===================
www.xxx.com/admin/ks.database.asp?Action=BackUp&Flag=Backup”>
当今数据库查询途径D:\wwwroot\KS_Data\KesionCMS4.mdb”readonly>备份数据数据库查询名字[假如备份数据文件目录存有该文件将遮盖，不然将全自动建立]Data(2009-4-16).bak”>