三星级商务度假酒店网站系统注入+上传漏洞[asp+access]

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-02990

漏洞标题：三星级商务度假酒店网站系统注入+上传漏洞[asp+access]

漏洞作者： 08小组

提交时间：2011-10-13 21:21

修复时间：2011-10-13 22:26

公开时间：2011-10-13 22:26

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：3

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-10-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2011-10-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

存在注入和上传过滤不严的问题。

详细说明：

源码下载地址：[url]http://down.admin5.com/asp/76153.html[/url]
多个页面存在SQL注入漏洞：
cps/clientnewsmore.asp 新闻页面。但是数据库和管理员数据库是分开的。
cycont.asp 消费指南页面数据库和管理员数据库是同一个。
看代码吧：

clientnewsmore.asp：
<!--#include file="conn.asp"-->
<%
 set rs=server.createobject("adodb.recordset")
 sql="select * from human where id="&request.querystring("id")&""
 rs.open sql,conn,1,1
 %>

没经过任何过虑，直接进数据查询。。。
conn.asp

<%
  connstr="DBQ="+server.mappath("2004050261603.mdb")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};"  
  set conn=server.createobject("adodb.connection")
  conn.open connstr
  %>

和管理员数据库不是同一个。
cycont.asp

<%
Response.Buffer =True
Response.ExpiresAbsolute =Now() - 1
Response.Expires=0
set fs=server.createobject("adodb.connection")
fs.connectionstring= "Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&server.mappath("200409221234.mdb")
fs.open
         
  set rs=server.createobject("ADODB.Recordset")               
  sql="select * from cy where id=" & request.querystring("id")
  rs.open sql,fs,1,1    
%>

同样没经过任务过虑。。。
再看下上传页面。
upload111_flash.asp

<%
uppath=request("uppath")&"/"			'文件上传路径
filelx=request("filelx")				'文件上传类型
formName=request("formName")			'回传到上页面编辑框所在Form的Name
EditName=request("EditName")			'回传到上页面编辑框的Name
%>
...............
<form name="myform" method="post" action="upfile111_flash.asp" enctype="multipart/form-data" >
<div id="esave" style="position:absolute; top:18px; left:40px; z-index:10; visibility:hidden"> 
..........
</td><td width=20%></td>
</tr></table></div>
<table width="90%" border="1" align="center" cellpadding="3" cellspacing="1" bordercolor="#5985D5" bgcolor="#FFFFFF" class="tableBorder">
<tr> 
<td align="center" bgcolor="#254B8F"><b class="wz"><font color="#ffffff">图片上传 
<input type="hidden" name="filepath" value="<%=uppath%>">     //上传文件路径通过表单传递的。。。 t.asp  NC抓包都是可以
<input type="hidden" name="filelx" value="<%=filelx%>">
<input type="hidden" name="EditName" value="<%=EditName%>">
<input type="hidden" name="FormName" value="<%=formName%>">
<input type="hidden" name="act" value="uploadfile"></font></b></td>

后台地址：manager/

漏洞证明：

本地测试的。

修复方案：

你懂的

版权声明：转载请注明来源 08小组@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-02990

漏洞标题：三星级商务度假酒店网站系统注入+上传漏洞[asp+access]

相关厂商：三星级商务度假酒店网站系统[asp+access]

漏洞作者： 08小组

提交时间：2011-10-13 21:21

修复时间：2011-10-13 22:26

公开时间：2011-10-13 22:26

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：3

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 08小组@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-02990

漏洞标题：三星级商务度假酒店网站系统注入+上传漏洞[asp+access]

相关厂商：三星级商务度假酒店网站系统[asp+access]

漏洞作者： 08小组

提交时间：2011-10-13 21:21

修复时间：2011-10-13 22:26

公开时间：2011-10-13 22:26

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：3

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2011-02990"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 08小组@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：