WooYun.org

SQL注入 gznpo.gzmz.gov.cn

首页最底的链接“管理后台” 指向 /manager
“manager” 通常也包含在目录扫描器的典型字典里
转到/manager/login.aspx
有用户名、密码、验证码三个字段
提交时密码字段的值会在客户端哈希成MD5，那么一般情况下数据库里可能存的就是明文或者明文的MD5哈希
不过这并不影响SQL注入漏洞
在提交时对

' or '1'='1

进行URL编码并替换成用户名及密码字段的值

进到后台

SQL注入 www.bankofchancheng.com

后台路径一样，网站是通过搜索引擎搜关键字找到的
用之前第一个的方法不行了，提示

账号或密码错。

不过看到页面上没有验证码，拿工具测试了一下，结果

看来至少要知道正确的用户名 或者 正确的密码就可以了
用户名字段的值

demo' or '1'='1

(demo是存在的用户)
密码字段的值

随意

提交，进到后台

任意文件上传 www.jmeii.com

经过上面的两步，想看看开发公司的网站，后台一样，但这次注入换了几个姿势都进不去（还有验证码）
对/manager目录做了一下文件枚举，得到一个

/manager/test.aspx

传了个aspx上去，响应内容无任何线索提示成功和失败
再换成txt试试，同样响应内容无任何线索提示成功和失败
猜想文件可能已经成功上传，用加上了上传文件的名字对网站文件再做一次枚举
然后在网站/目录找到了刚上传的txt，但没找到aspx
考虑到这个页面叫test，试着在上传的时候把文件名加上了目录

文件名改为 /manager/500.aspx

访问 /manager/500.aspx 得到了上传漏洞的确认

/manager/test.aspx 应存在于相同产品的站点，没有作具体测试

另外gznpo.gzmz.gov.cn有狗咬并且好像程序本身有问题，用这个方法上传不了

任意文件上传 
gznpo.gzmz.gov.cn:8080 
chart.s.jmeii.com
（chart.s.jmeii.com:8080 失败）

因为在gznpo.gzmz.gov.cn的上传不成功，催生了试试其他地方的想法

发现问题的是左面那个，右面后来也证实是有问题的

转到 http://gznpo.gzmz.gov.cn:8080/home/publist/PubHome

里面有注册、登录，注册一个帐号，摸索了几个可疑的地方（略）
找到一处上传调用发现可以任意上传文件，并且返回文件路径(登录后，在业务中心->业务管理->申请成立社团->名称预先核准 在附件部分）

POST http://gznpo.gzmz.gov.cn:8080/Handler/Upload/目录

在gznpo.gzmz.gov.cn:8080的上传测试也是被狗咬，被狗咬可以使用各种招式反狗（比如*.aqg、cookies的webshell进行尝试，这里略）
根据右面那个的URL

chart.s.jmeii.com

想来大概是也同一间公司的（jmeii），对比下目录发现都有相同的目录
逐利用上传调用 /Handler/Upload/ 进行测试，在仅仅将 URL替换成 对应网站，就可以得到上传文件的情况下，证实了/Handler/Upload/不需要身份认证就可以利用了

口令管理缺陷

出现123456这些都不算什么了
经过检查你们的数据库配置文件，发现不同系统用同一套用户名和密码，有的密码还是跨用户使用的，这真是作死啊

保密意识缺失

不要什么文件都塞到网站目录里去阿
瞧瞧这是什么