您现在的位置: 骇客基地 >> 黑客文章 >> 漏洞研究 >> 正文

沸腾展望新闻多媒体系统安全缺陷(通杀目前所有版本)
骇客基地 阅读: 时间:2007-10-31 13:28:10 来源:www.hookbase.com
  

转载请保留版权标记,谢谢
-------------------------------by 大蝉@http://blog.gsnsg.com/weblog/usual/ QQ:271607603------------------------------------------

为什么说是安全缺陷不说是漏洞?因为不是沸腾展望新闻多媒体系统本身的代码问题,问题出在他们使用的zonGG广告系统上,所有版本都忠心耿耿的使用这个系统,都什么年代了,还用这玩艺,呵呵,不多说了,看代码吧:

zongg/login.asp

----------------------------------------------------------------------------------------------------------

<!--#include file="config.asp"-->
<%
adsconn.open adsdata
dim adssql,adsrs,admname,admpass
admname=trim(request("username"))
admpass=trim(request("password"))
set adsrs=server.createobject("adodb.recordset")
asql="select * from admin where admin='"&admname&"'"
adsrs.open asql,adsconn,1,1
if adsrs.bof and adsrs.eof then
%>
无此管理员!
<%
else
if admpass=adsrs("passwd") then
session("masterlogin")="superadvertadmin"
session("admname")=adsrs("admin")
session("aid")=adsrs("aid")
Response.Redirect "index.asp"
adsrs.close
set adsrs=nothing
adsconn.close
set adsconn=nothing
else
%>
密码错误!
<%
end if
end if
%>

----------------------------------------------------------------------------------------------------------

很明显admname没有做过滤,并且由于对admname是否存在做了判断,返回值不同,所以可以进行注入

这个漏洞只能得到广告系统管理员密码,但是只能登陆广告系统后台,不能登陆沸腾后台,有人会说这有并没有什么危害,事实并非如此,广告后台可以添加广告,而广告是纯JS执行,没有进行任何过滤,写什么JS就执行什么,广告代码在所有页面被调用,这就形成了严重的全站范围的跨站漏洞,拿管理员帐号,改主页,挂马,想做什么做什么,危害大不大?

建议修补方法

修改zongg/login.asp内容为

----------------------------------------------------------------------------------------------------------

<!--#include file="config.asp"-->
<%
adsconn.open adsdata
dim adssql,adsrs,admname,admpass
DeInj_set = "'|;|and|(|)|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare"
DeInj_code = split(DeInj_set,"|")
admname=trim(request("username"))
admpass=trim(request("password"))
For DeInj_no=0 To Ubound(DeInj_code)
       If Instr(LCase(admname),DeInj_code(DeInj_no))<>0 Then
             %>
              非法参数!
             <%
            Response.End
       end if
next
set adsrs=server.createobject("adodb.recordset")
asql="select * from admin where admin='"&admname&"'"
adsrs.open asql,adsconn,1,1
if adsrs.bof and adsrs.eof then
%>
无此管理员!
<%
else
if admpass=adsrs("passwd") then
session("masterlogin")="superadvertadmin"
session("admname")=adsrs("admin")
session("aid")=adsrs("aid")
Response.Redirect "index.asp"
adsrs.close
set adsrs=nothing
adsconn.close
set adsconn=nothing
else
%>
密码错误!
<%
end if
end if
%>

----------------------------------------------------------------------------------------------------------

 利用工具+录象 http://bbs.0kee.com/job.php?action-download-pid-tpc-tid-203-aid-86.html

转载请保留版权标记,谢谢

今天广告
参与评论:
注意事项:
【沸腾展望新闻多媒体系统安全缺陷(通杀目前所有版本)】文章由骇客基地网上搜集,其立场行为并不代表本站。
如果您发现该文章若无意中侵犯到您的权利,请联系我们!
未经本站明确许可,任何网站不得非法盗链及抄袭本站资源;如引用页面,请注明来自本站,谢谢您的支持!
最近更新
最新推荐
     
 
黑客首页 | 服务指南 | 软件发布  | 关于我们 | 本站声明  | 隐私声明 | 诚征英才 | 网站地图 | 友情链接 |
 
 
中国·黑客·骇客·基地 请使用IE6.0版本, 分辩率1024×768进行浏览 www.hookbase.com 站长:利客 Email:hookbase@163.com
Copyright © 2004-2009 All Rights Reserved. 粤ICP备05000985号