三、经典的'or'='or'

我这个人一般发现注入漏洞就是先找后台，这次也不例外。没想到找到后台后，直接'or'='or'具然进去了。在admin/login.asp(管理员登录页面)的第2行到13行代码如下：
<%
if Request("userID")<>"" then         '如果管理员名不为空就执行SQL语句
  sql="select * from users where userID='" & trim(request("userID"))                             '去除空格后取userID的值
& "' and Password='" & replace(trim(request("password")),"'","''") & "'"                                  '用replace函数过虑密码处的单引号
  'response.write sql
  'response.End
  set rs = conn.Execute(sql)
  if not (rs.eof or err) then
    代码略……
  else
%>
userID代表管理员用户名，Password是管理员密码。userID去空格直接取值，Password用了replace函数将单引号变成双引号。这样我们在管理员用户名的地方提交：'or'='or'就变成：sql="select * from users where userID='or'='or' & "' and Password='" & replace(trim(request("password")),"'","''") & "'"
OR在逻辑运算中有一个为真则为真。这样就不会执行后面的AND了。当然他后面用replace过虑单引号是什么作用也没有的。因为他判断管理员用户名是否为空，密码的地方没什么判断，我们密码处什么也不用填。见图四。



四、后台上传漏洞

如果只是进后台的话也不至于我三分钟就得到WEBSEHLL，因为我直接在上传的地主传一个ASP马儿，就直接告诉我成功了。下面看下savefile.asp(处理上传的文件)，3行到19行代码如下：
<%
set upload=new upload_5xSoft
formPath=formPath
set file=upload.file("file1")
formPath="../file/"
if file.FileSize>0 then         '如果 FileSize > 0 说明有文件数据
  fileName=file.FileName   '获得文件名的值
  file.SaveAs Server.mappath(formPath&filename)   '保存文件                  
end if

set file=nothing     
%>
<script language=Javascript>
<!--
alert("文件上传成功！");
window.location="addFile.asp"
-->
如果FileSize > 0说明就会直接保存文件了，(当然我们不会传空文件了。)而且连文件名字都没有变动。见图五。



最后总结一下，我找了半天也没找到这是什么程序，去GOOGLE搜索中文网站：“inurl:admin/default.asp”找到了几个类似的网站。留给比我还菜的朋友们自己研究吧。这是我接触网络安全方面第一次遇见的漏洞这么多的网站，希望能给菜菜朋友们带来帮助。

----------------------------------------------------

恩 很多~login.asp中，接收用户输入的Userid和Password数据，并分别赋值给user和pwd。

然后再用sql="select * from admin where username="&user&" and password="&pwd&"" 

这句来对用户名和密码加以验证。 
　　
但是如果Userid的值和password的值被赋于：safer' or'1'='1' 这时。

sql="select * from admin where username="&user&" and password="&pwd&"" 就成了： 
　　
sql="select * from reg where user=safer' or'1'='1' and pass=safer' or'1'='1' 

同样利用这个可以进别的程序的后台.这种程序是最垃圾。也是最原始的了~

上一页  [1] [2]