风云房产信息网漏洞审计

前言

这是一套asp+access编写的程序.找源码找了半天才找到. 这套cms名字叫:风云房产信息网 漏洞层出不穷 一个一个慢慢分析 管理员表:manager66 —> 账号:name 密码:pwd 密码为明文存储

存在漏洞的文件

  • ./gongao.asp (sql注入)
  • ./house/Zs_show.asp (sql注入)
  • ./house/Zs_more.asp (sql注入)
  • ./house/RecomCo_Detail.asp (sql注入)
  • ./house/question.asp (sql注入)
  • ./house/pwd_userid.asp (sql注入)

    ……..

    前台存在注入漏洞的文件太多了,就不一一举例了.因为我发现好多网站都放了一个360的防注入文件,这样的话,不管是get post 还是cookie提交sql语句都被拦的死死的. 如果有大佬知道access怎么绕这个360防注入,大家可以交流交流

正文

接下来就找一下怎么不利用sql注入的情况下来拿shell.

看了一下后台的验证方式, 采用的session验证,没办法来伪造信息绕过.但是程序员似乎把备份数据库的代码忘记验证了session 文件位置: UpDate_Save.asp

    <%
'Response.write "<script>alert('数据库过大,请使用FTP直接下载本地备份!');location.href='UpDate.Asp'</script>"
'Response.end
whichfile=server.mappath(Request("DBpath"))
dsfile=Server.MapPath(Request("bkfolder"))
Set fs = CreateObject("Scripting.FileSystemObject")
Set thisfile = fs.GetFile(whichfile)
thisfile.copy dsfile
Response.write "<script>alert('数据库备份成功!');location.href='UpDate.Asp'</script>"
%>

这里我们可以直接自己构造参数来操作,DBpath为备份文件路径 bkfolder为备份文件保存路径 payload如下
data:DBpath=../inc/conn.asp&bkfolder=../1.txt url:adminfy/update_save.asp

那我们就可以利用这个功能点把conn.asp文件备份到根目录.然后查看数据库路径.然后再把数据库备份直接下载到本地 还可以直接上传一个jpg 然后备份拿SHELL. 这样就可以不用注入来直接拿SHELL了

刚好找到一个上传点 在 inc/upload.asp 不过有好几个网站把这个上传点给删除了. 那还有什么办法上传图片呢? 通过查看代码发现 他后台目录下面存在一个web目录,这是ewebeditor编辑器 虽然默认他删除了admin_login.asp登录页面.但是我们可以构造参数来上传图片. 也可以调用他默认的popup.asp来上传.不过好像需要ie6

结尾

由于本人技术有限 ... 该cms肯定还存在其他漏洞..

本文链接:

http://hentai6.cn/index.php/archives/8/
1 + 3 =
快来做第一个评论的人吧~