网趣可以改名成洞趣了
网趣网上购物系统时尚版10.3在会员登录编辑订单处存在SQL注入,导致管理员密码被注入暴MD5 漏洞 。
漏洞:文件editorderform.asp,存在sql注入漏洞
关键字:inurl:trends.asp?id=
利用前提:注册用户下定单
分析:
源码 如下:
<%dim zhuangtai,namekey namekey=trim(request("namekey")) 只是单单过滤了空格而已 zhuangtai=trim(request("zhuangtai")) if zhuangtai="" then zhuangtai=request.QueryString("zhuangtai") if namekey="" then namekey=request.querystring("namekey") %>
………………
//按用户查询 if zhuangtai=0 or zhuangtai="" then rs.open "select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai<6 and username="&namekey&" order by actiondate desc",conn,1,1 else rs.open "select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai="&zhuangtai&" and username="&namekey&" order by actiondate",conn,1,1 end if
admin目录下的editorderform. asp 文件未做session验证,且对namekey过滤不严,直接导入查询产生SQL注入漏洞。
利用如下:
首先注册一个用户,随便找一样东西购买下一个定单,产生一个定单号。
如图:
好了,定单号产生,那么,我们接着就直接打开网站
http://www.chinasg.tk/admin/editorderform.asp?zhuangtai=0&namekey=qing
其中的namekey=qing,qing替换成你注册的用户名,
把这个URL放到NBSI当中,关键字为“1笔”,手动添加表名cnhww,结果如图所示:
好了,拿着跑出来的密码去cmd5解一下,再登录后台,
后台拿shell的话,备份和上传那里都可以,我就不详说了。
修复方案:
对admin目录下的editorderform.asp文件做session验证,对namekey严格过滤
查看更多关于网趣网上购物系统时尚版10.3注入漏洞及修复 - 网的详细内容...