无忧购物系统ASP专业版 SQL防注入绕过

  • A+
所属分类:漏洞时代
摘要

from:90sec在果views.asp这个文件有问题,存在注入可以看到:hw_id=Request(“hw_id”)
hw_id没有任何过滤,还是request请求,一看就鬼火,以前的老漏洞难道在新版本也没能很好的解决,或者根本没补漏洞

from:90sec

在果views.asp这个文件有问题,存在注入

可以看到:hw_id=Request("hw_id")
hw_id没有任何过滤,还是request请求,一看就鬼火,以前的老漏洞难道在新版本也没能很好的解决,或者根本没补漏洞

跟进代码
顺藤摸瓜最终在:sqlcheck.asp找到防注入代码

[php]
<% '防止Sql注入
On Error Resume Next
Fy_Url=Request.ServerVariables("QUERY_STRING")
Fy_a=split(Fy_Url,"&")
redim Fy_Cs(ubound(Fy_a))
On Error Resume Next
for Fy_x=0 to ubound(Fy_a)
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)
Next
For Fy_x=0 to ubound(Fy_Cs)
If Fy_Cs(Fy_x)<>"" Then
If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
response.Write "

"
Response.End
End If
End If
Next
#@~^RQEAAA==W!x^DkKxP7+ ^W9+c/xd4Kw#@#@&/x/4G24!Y{*@#@&WGMPr'8~YKPsn `/nUktGw*@#@&kW,:bN`7+ [email protected][email protected]*J+J,Ot[email protected]#@&-nx{lkmc:r[v/nxk4Wa~rS8##R-xdtK2([email protected]#@&b0P7+ @*[email protected]#@&/+ x/[email protected]#@&Vk+r0~-[email protected][email protected]#@&/[email protected]#@&n N,[email protected]#@&7nxm'-+ l'^4D`7nx*@#@&[email protected]#@&7+Ulx-xC[[email protected]#@&+U[,[email protected]#@&U[email protected]#@&7+x1W9n'[email protected]#@&nU9P0!UmDkW W10AAA==^#[email protected]
%> [/php]
用了Request.ServerVariables(”QUERY_STRING”)来接收的数据,但是直接将注入的字符URL编码是不行的

Request.ServerVariables(”QUERY_STRING”)是得到客户端提交的字符串,这里并不会自动转换url编码,如果我们把name进行url编码再提交的话,那就可以绕过了
直接hw_id改为hw_i%64就行,其他的照旧,就这么绕过了

google关键字:inurl:views.asp?hw_id=

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: