便宜企业网V1.0漏洞分析

发布时间：2014-11-13 10:34:45作者：知识屋

QQ:7958600

products.asp 部分代码

<%
pages=10

          leixing=lcase(trim(request("id")))
       select case leixing
       case "big"
        anclassid=request("anid")
        set rs=server.createobject("adodb.recordset")
        rs.open "select * from sort1 where anclassid="&anclassid,conn,1,1
      if rs.bof and rs.eof then
      response.write"<SCRIPT language=JavaScript>alert(参数错误！);"
      response.write"javascript:history.go(-1)</SCRIPT>"
      response.end
      end if
      anclassname=rs("anclass")
      rs.close

       %>

<%
       case "small"
        anclassid=request("anid")
        nclassid=request("nid")
        set rs=server.createobject("adodb.recordset")
        rs.open "select * from sort1 where anclassid="&anclassid,conn,1,1
      if rs.bof and rs.eof then
      response.write"<SCRIPT language=JavaScript>alert(参数错误！);"
      response.write"javascript:history.go(-1)</SCRIPT>"
      response.end
      end if
      anclassname=rs("anclass")
      rs.close
        rs.open "select * from sort2 where nclassid="&nclassid,conn,1,1
      if rs.bof and rs.eof then
      response.write"<SCRIPT language=JavaScript>alert(参数错误！);"
      response.write"javascript:history.go(-1)</SCRIPT>"
      response.end
      end if
      nclassname=rs("nclass")
      rs.close
       %>

upme2.asp 部分代码

<%
const upload_type=0   上传方法：0=无组件上传类
Const MaxFileSize=2000        上传文件大小限制
Const UpFileType="png|gif|jpg|bmp"        允许的上传文件类型
dim upload,file,formName,SavePath,filename,fileExt
dim upNum
dim EnableUpload
dim Forumupload
dim ranNum
dim PreviousFiletype
dim msg,founderr
msg=""
founderr=false
EnableUpload=false
SavePath = "upload"   存放上传文件的目录
if right(SavePath,1)<>"/" then SavePath=SavePath&"/" 在目录后加(/)
%>

上边是形成，我门来利用

时间关系，我检测好了。

恭喜,该URL可以注入!
类型:Access数据库
已停止表名猜解!
已停止列名猜解!
范围:共有1条记录!
admin内容:admin
password内容:cc2c6ee559e7ac6cb87a7ebcae5d5996
已全部检测完毕!

可以检测的。我门登陆。

拿SHELL的方法我想了，好多。插入一句话不行啊，我门看看数据库是否让看可以的，后台修改ASA 或者ASP格式的， - -|| 不行了。我门在试试别的

upload/200952720264962528.jpg 我们修改试试不行的，该目录试试也不行，放弃把。

我发现这个页面：upme2.htm 是不是可以上传呢？我们抓包。，名小子试试upload 这个是他的上传目录，我门在这里看着。删除啊别的东西空的了。很明显成功了，但是没路径只有图片的。我门用本地页面试试

<>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
<SCRIPT language=javascript>
content=parent.document.pic.a.value;content=content+upload/2009527203117842.jpg;
parent.document.pic.a.value=content;
content=parent.document.pic.f.value;content=content+2009527203117842.jpg;
parent.document.pic.f.value=content;
alert(上传文件成功！);
window.location = upme2.htm;
</script><SCRIPT language=javascript>
content=parent.document.pic.a.value;parent.document.pic.a.value=content;
content=parent.document.pic.f.value;parent.document.pic.f.value=content;
alert(上传文件成功！);
window.location = upme2.htm;
</script>
</body>
</html>