无忧购物系统ASP专业版 SQL防注入绕过

from:90sec

在果views.asp这个文件有问题,存在注入

可以看到:hw_id=Request("hw_id")
hw_id没有任何过滤,还是request请求,一看就鬼火,以前的老漏洞难道在新版本也没能很好的解决,或者根本没补漏洞

跟进代码
顺藤摸瓜最终在:sqlcheck.asp找到防注入代码

[php]
<% '防止Sql注入
On Error Resume Next
Fy_Url=Request.ServerVariables("QUERY_STRING")
Fy_a=split(Fy_Url,"&")
redim Fy_Cs(ubound(Fy_a))
On Error Resume Next
for Fy_x=0 to ubound(Fy_a)
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)
Next
For Fy_x=0 to ubound(Fy_Cs)
If Fy_Cs(Fy_x)<>"" Then
If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
response.Write "

"
Response.End
End If
End If
Next
#@~^RQEAAA==W!x^DkKxP7+ ^W9+c\xd4Kw#@#@&\x/4G24!Y{*@#@&WGMPr'8~YKPsn `\nUktGw*@#@&kW,:bN`7+ dtKwSkBFb@!@*J+J,Otx@#@&-nx{lkmc:r[v\nxk4Wa~rS8##R-xdtK2(EO@#@&b0P7+ @*Fyv~Y4+U@#@&\+ x\xOOX@#@&Vk+r0~-x@!&y~Y4+U@#@&\+Ux7+U_OX@#@&n N,k0@#@&7nxm'-+ l'^4D`7nx*@#@&sd+@#@&7+Ulx-xC[14DvFfb@#@&+U[,kW@#@&U6O@#@&7+x1W9n'7+Ul@#@&nU9P0!UmDkW W10AAA==^#~@
%> [/php]
用了Request.ServerVariables(”QUERY_STRING”)来接收的数据,但是直接将注入的字符URL编码是不行的

Request.ServerVariables(”QUERY_STRING”)是得到客户端提交的字符串,这里并不会自动转换url编码,如果我们把name进行url编码再提交的话,那就可以绕过了
直接hw_id改为hw_i%64就行,其他的照旧,就这么绕过了

google关键字:inurl:views.asp?hw_id=

发表评论