仙游旅行社网站管理系统 v1.5 注入漏洞

Free_小东

1. <" CODEPAGE="936"%><!--#include file="conn.asp"--><!--#include file="sub_top_foot.asp"--><%
   
2. 
   
3. dim idd
   
4. idd=trim(request("id"))     ‘’‘’‘’‘’‘’‘’‘’‘’   无过滤
   
5. if idd="" then
   
6. call errbox("无效的参数传递","","","","")
   
7. end if
   
8. set rs=server.CreateObject("adodb.recordset")
   
9. rs.open "select * from lxscms_i where shenhe=1 and id="&idd,conn,1,3
   
10. if rs.eof and rs.bof then
    
11. call errbox("您所查找的信息不存在","","","","")
    
12. else
    
13. if rs("hits")=0 or rs("hits")="" then
    
14. rs("hits")=1
    
15. else
    
16. rs("hits")=rs("hits")+1
    
17. end if
    
18. if rs("uurl") <> "" then
    
19. response.Redirect ""& rs("uurl") &""
    
20. end if
    
21. 
    
22. 
    
23. 
    
24. sub_top_foot.asp
    
25. 
    
26. 
    
27. 
    
28. 
    
29. 
    
30. sub errbox(boxvalue,boxurl,box1,box2,box3)
    
31. if boxvalue = "" then
    
32. boxvalues = ""
    
33. else
    
34. boxvalues = boxvalue
    
35. end if
    
36. if box1 = "1" then
    
37. boxurls = boxurl
    
38. else
    
39. if boxurl = "" then
    
40. boxurls = "history.go(-1);"
    
41. else
    
42. boxurls = "window.location.href = '"& boxurl &"';"
    
43. end if
    
44. end if
    
45. if box1 = "1" then
    
46. response.write "<style>body {background:#fff;margin:auto;text-align:center;}.box1 {line-height:32px;font-size:14px;margin:60px;clear:both;}</style><div class='box1'>"& boxvalues &"<br /><a href='javascript:history.go(-1);'>后退至上一页</a>　<a href='"& boxurls &"'>继续操作下一步</a></div>"
    
47. response.end
    
48. else
    
49. response.write "<script>alert('"& boxvalues &"');"& boxurls &"</script>"
    
50. response.end
    
51. end if
    
52. end sub
    
53. Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Z'
    
54. On Error Resume Next
    
55. Fy_Url=LCase(Request.ServerVariables("QUERY_STRING"))   
    
56. Fy_a=split(Fy_Url,"&")      
    
57. redim Fy_Cs(ubound(Fy_a))   
    
58. On Error Resume Next
    
59. for Fy_x=0 to ubound(Fy_a)            
    
60. Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)  
    
61. 
    
62.               
    
63. Next
    
64. For Fy_x=0 to ubound(Fy_Cs)    Fy_cs(0) =id
    
65. If Fy_Cs(Fy_x)<>"" Then  
    
66. 
    
67.   If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
    
68. Select Case Fy_Cl
    
69. Case "1"
    
70. call errbox("因为你的某些非法操作,系统已经锁定了你的IP","","","")
    
71. Case "2"
    
72. call errbox("因为你的某些非法操作,系统已经锁定了你的IP","","","")
    
73. Case "3"
    
74. call errbox("因为你的某些非法操作,系统已经锁定了你的IP","","","")
    
75. End Select
    
76. Response.End
    

复制代码

问题出在这：Fy_Url=LCase(Request.ServerVariables("QUERY_STRING"))   
这个提交的数据不会解码
程序根据name来判断 value   If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0
如果我们对 value编码 最后会被解码 程序仍然可以检测到
绕过方法：
通过对name  id进行url 编码 i%64  首先程序会判断i%64的值
到这里i%64会被解码成id
可我们只对i%64赋值   这时id的值就为空了
Exp：

游客，如果您要查看本帖隐藏内容请回复

Lizard

学习。。。。。

轩辕夏禹

路过瞧瞧

zyxz2

我想看看

N.O

呵呵这个东西我喜欢。。

站长

路过 看看       o(︶︿︶)o 唉  纠结   问下 楼主的  个性签名怎么编辑的