好友的网站使用到了ok3w这套CMS系统，据说这套系统的代码很严谨，还可以方便的进行二次开发，看着他做好的网站，于是我就想检测一下其安全性如何。在检测之前，我先使用搜索引擎搜索了一下这套CMS，找到了很多分析其漏洞的文章，当然绝大多数都为转载，更雷人的是，官方针对这些漏洞也做出了回应。


我仔细的看了看，发现所提到的漏洞按照作者所述确实不能加以利用，在成功暴出数据库地址后，我们直接在浏览器中打开，返回结果因为程序开发者故意在数据库的“<%=NoDown%>”表中添加了“<%@LANGUAOE=""CODEPAGE="936"%><%@LANGUAGE=""CODEPAGE="936"%>”的内容，这样就造成了解析错误，所以就如作者所说的那样，插入一句话木马后也是无法成功执行的。可能有的朋友会想到添加容错语句“On error Resume Next”等等，我也一一作了测试，但也都是无效的。看着官方的回应，感觉也未免太过绝对了，于是我再次对其分析了一下，下面就把对漏洞的探索与利用方法记录下来，与大家们分享。









先搭建好测试平台，将ok3w的代码放到IIS的WEB目录里，再在Dreamweave中建立好站点，注入漏洞依旧是我们优先考虑的，从程序对数据的获取是否全面等就可以大概的猜测出程序员的安全意识。使用“request”作为关键词搜索了一下。客户端提交数据被myCdblO函数处理了，跟随了一下这个函数，发现其代码如下。







这个函数用来判断获取的变量类型，如果不是数字型数据则提示出错，看来注入的防范很到位，至于其它的就不用看了，估计不会有漏网之鱼的。来看看前台的跨站是如何产生的，能否换成其它的方法进行利用。程序用到了一个又一个的类，好不容易才找到获取数据的代码，如下：





可以看到程序确实没有对数据进行任何过滤，这下跨站漏洞就出现了，那么要如何利用呢？来看看后台都有什么功能，以管理员身份登录后台，发现有数据库备份功能，打开WsockExpert选中后台管理页面，然后进行备份，抓取到的数据将其整理到一个txt文件中，在最后发现了“ss=%2FDb%2FOk3w%2346%23ASPACC.ASP&tt=fjhh.mdb&action=backup&Submit=%CCo/eEl%BD%BB”，其中“ss=..%2FDb%2FOk3w%2346%23ASPACC.ASP”的ss的值就是数据库的相对地址，这里被编码了，而“tt=fjbh.mdb”就是备份的数据库名。


看到这里，思路也就清晰了，我们可以通过xss利用管理员的后台进行备份，将数据库备份成mdb格式，然后再将其下载。好了，下面我们就来构造利用代码。先直接在浏览器中访问“/AppCode/conn.asp”，在暴出了数据库地址后将路径中的特殊符号等使用URL编码，然后再修改成如下的代码。








将以上代码保存成fjhh.js文件，我们可以将其上传到支持asp的空间中，这里我就在本地进行演示了，存放到WEB根目录下，在留言处发表留言，成功后就等着管理员登录后台了。


下面我们就以管理员身份登录，查看留言，很正常，没什么反应，但事实上数据库已经神不知鬼不觉的被备份了，查看文件属性与日志记录。


数据库备份成功后我们就可以下载了，只要密码不是很复杂，在CMD5等网站在线查询出密码后就可以登录进入后台了。经测试发现该套CMS系统不存在上传漏洞，拿webshell还是只能使用数据库备份，但数据库备份页面中的数据库地址无法被修改。我修改了一下页面（文件已打包收录），大家在利用时只需要将表单中的action值修改为你测试网站的url即可。打开页面后，填入上传成功的图片木马，然后点击备份，提示备份成功，这样我们的webshell就备份到Admin目录下了。


关于这套系统的分析与简单的利用过程就为大家介绍到这里，在最后的备份拿webshell中大家要注意相对路径、绝对路径的问题，否则就会出现找不到文件的错误。程序是否还存在其它漏洞，是否如官方描述的那样安全，这就需要大家的挖掘了。

[quote=game00over,4556]既然你说能看的懂DZ源码的话，那么请问下Discuz X 3.2 UTF-8 版本中， 检查访客是否具有帖子、文章访问权限的代码在哪里。[/quote] 额，简单看了一下，如果你问的是贴子访问权限的话，大概是。。。

[quote=game00over,4556]既然你说能看的懂DZ源码的话，那么请问下Discuz X 3.2 UTF-8 版本中， 检查访客是否具有帖子、文章访问权限的代码在哪里。[/quote] 和帖子访问权限有关的代码貌似分的很散，我慢慢找找

[quote=game00over,4555]代码审计，找找不同，那个所谓网络安全工具HTML页面，就是直接把www.hmlsec.com/zx/页面保存到本地，然后改了人家的标题和版权，就当成自己的临时仓促之作。[/quote] 我在作者官方群里也有管理权限

[quote=game00over,4555]代码审计，找找不同，那个所谓网络安全工具HTML页面，就是直接把www.hmlsec.com/zx/页面保存到本地，然后改了人家的标题和版权，就当成自己的临时仓促之作。[/quote] 你可以找找原作者问问人家是不是我和他合作的

[quote=红盟大使,4548]如果真的有疑惑，你不妨来考一下，毕竟我也不是很喜欢被别人指指点点，真的不信，可以直接问相关的知识，不用拐弯抹角的嘲讽我[/quote] 既然你说能看的懂DZ源码的话，那么请问下Discuz X 3.2 UTF-8 版本中， 检查访客是否具有帖子、文章访问权限的代码在哪里。

[quote=红盟大使,4547]哦不好意思，我上边问的问题并没有嘲讽的意思，那个HTML是临时赶的仓促之作，两个人一起写的肯定有很多问题，DZ和ok3w的源码肯定是看得懂的，有点基础的人都能看得懂[/quote]


代码审计，找找不同，那个所谓网络安全工具HTML页面，就是直接把www.hmlsec.com/zx/页面保存到本地，然后改了人家的标题和版权，就当成自己的临时仓促之作。

[quote=game00over,4522]我也有个小问题想问下，你真的看得懂DZ和ok3w的源码嘛？毕竟上次在某群看到的“网络安全工具”，抄来的HTML代码都是一堆问题，我怀疑搞这个的人连HTML都看不懂。[/quote] 如果真的有疑惑，你不妨来考一下，毕竟我也不是很喜欢被别人指指点点，真的不信，可以直接问相关的知识，不用拐弯抹角的嘲讽我

[quote=game00over,4522]我也有个小问题想问下，你真的看得懂DZ和ok3w的源码嘛？毕竟上次在某群看到的“网络安全工具”，抄来的HTML代码都是一堆问题，我怀疑搞这个的人连HTML都看不懂。[/quote] 哦不好意思，我上边问的问题并没有嘲讽的意思，那个HTML是临时赶的仓促之作，两个人一起写的肯定有很多问题，DZ和ok3w的源码肯定是看得懂的，有点基础的人都能看得懂

[quote=qwsxmkoi,4508]为什么截图有种纸质感，莫不成是拍的杂志？[/quote] 秘汁截图的原因