惊云下载系统又暴惊天漏洞

惊云下载系统edit.asp文件存在SQL注入漏洞，后台存在任意文件上传漏洞。
　　惊云下载系统以前有个漏洞好象在user.asp，不知现在修补没有。

本人这次和大家讲件edit.asp文件的漏洞，一来发布一个漏洞，二教教大家如何发现和利用漏洞。我一行一行解释。文中％,!用全角字符代替。

<％
user=Request.cookies("JyDownUserName")
'取得用户COOKIE并存入USER变量

if user<>"" then
  user=replace(user," ","+++ close")
'给USER变量替换空格
else
  response.write(" 您没有进入本页面的权限,本次操作已被记录!如果你是本站会员请先登陆后进入.")
  response.end
end if
'上面判断COOKIE是否为空，空则跳转，等会我们构造COOKIE欺骗，让JyDownUserName这个COOKIE值不为空，至于为多少，等会说。


server_vv=len(Request.ServerVariables("SERVER_NAME"))
server_v1=left(Cstr(Request.ServerVariables("HTTP_REFERER")),server_vv)
server_v2=left(Cstr("http://"&Request.ServerVariables("SERVER_NAME")),server_vv)
if server_v1<>server_v2 and server_v1<>"" and server_v2<>"" then
response.write("< script>alert('错误：禁止从站点外部提交数据!.')")
response.end
end if
'上面判断网页是否是从浏览器点击而进入的，我们同样可以伪造是这个地方为真，再此不再赘述
％>

<！--#include file="mdb_path_user.asp"-->
<！--#include file="char.inc"-->
<！--#include file="config.asp"-->
'上面是头文件包含，没什么用，忽略就行了

<％
pwd=replace(request.form("pwd")," ","+++ close")
set rs=server.CreateObject("ADODB.RecordSet")
rs.open "select * from UserInfo where user='"&user&"'",conn,1,2
'关键的一句注入点，因为user=replace(Request.cookies("JyDownUserName"),," ","+++ close"),很明显没有过滤单引号
if rs.eof then
JyDownMsg="错误:"&user&"用户资料读取错误,请重新登陆!"
'注入条件判断语句，没有它都不能确定是否成功，返回此句代表失败
else
if request("type")="save" then
if pwd="" then
JyDownMsg="错误:要修改资料必需填写原密码!"
else
if pwd<>rs("pwd") then
JyDownMsg="错误:原密码错误!"
'注入条件判断语句，没有它都不能确定是否成功，返回此句代表成功，至于为什么我真得无法用语言表达了，还是自己想吧。这句以下已经没有意义了。解释至此
else
qm=htmlencode(request.form("qm"))
if len(qm)>250 then
JyDownMsg="错误:个性签名多于250个字符!"
else
.........

好了，已经知道注入的地方，而且知道成功的标志，同时知道表的结构（网上可以找到嘛），便可以利用了。