文章作者：allyesno

Term   : FreeXploiT
Author : ALLyeSNO
Date    : 2005-2-2
WIS是小榕开发的SQL漏洞扫描工具
WIS对&字符未做严格过滤 导致可以 人为的创建含&字符的语句 在扫描者机子上执行任意代码
命令行下进入WIS存放目录 输入wis &net user allyesno 12345 /add 则成功执行。
------------------------------------------------------------------------------------
此漏洞利用的时候前提是wis.exe必须以系统管理员权限运行，应用在webshell等方面估计可行性不大

兄弟，这个漏洞值得讨论啊，&的作用在命令行的作用是连续执行。
就拿风泽兄写的exe2hbdo 来说， EXE2HBDO & net user zhou /add 同样添加了一个zhou的用户。只不过只执行了两条命令而已，个人认为不能算是漏洞。其他兄弟的看法呢？

关键是wis &net user allyesno 12345 /add 中，&net user allyesno 12345 /add 这些并不是wis的参数，所以也就不存在什么过滤的问题了。象 EXE2HBDO & net user zhou /add, 的运行结果是：

E:\Downloads>EXE2HBDO & net user zhou /add
========================
  --==E . S . T==--
  Exe2 Hex&BIN&DEC&OCT
    CODE BY EvilHsu
  WELCOME  TO  E.S.T
========================
Please input filename:
error ! file open failed
命令成功完成。

和 E:\Downloads>EXE2HBDO 是一样的。

E:\Downloads>EXE2HBDO
========================
  --==E . S . T==--
  Exe2 Hex&BIN&DEC&OCT
    CODE BY EvilHsu
  WELCOME  TO  E.S.T
========================
Please input filename:

开始看文章时老觉得怪怪的，看了zhouzhen的回帖才明白过来

当时看了文章没有转，一直觉得有问题·····看了zhouzhen 兄弟的清楚了

大家可以试试 dir & net user zhou /add, 在列出目录的同时也添加了一个zhou的用户

看看下面作者的分析````````

文章来源：www.hackbase.com
文章作者：喜欢忧伤

小榕的WIS漏洞补充篇及利用篇

--------------------------------------------------------------------------------

编者：昨天就看见ALLyeSNO的这个文章了，但是始终不明白原文里说的意思．直到今天......

漏洞发现者 : ALLyeSNO　　http://blog.csdn.net/freexploit/

WIS是小榕开发的SQL漏洞扫描工具
WIS对&字符未做严格过滤 导致可以 人为的创建含&字符的语句 在扫描者机子上执行任意代码

&net user allyesno 12345 /add

不是wis&net user allyesno 12345 /add
而是 使用 wis对 某一个网站进行扫描的时候

我们可以利用wis未过滤& 在被扫描的网站代码 例如asp代码中嵌入&net user administrator 12345 /add

当wis对它进行扫描的时候 结果如下

sqlbug?=sql&net">http://www.target.com/sqlbug?=sql&net user administrator 12345 /add

本地执行wis &net user allyesno 12345 /add  是肯定可以的 因为&是把两段指令连在一起执行

下面是喜欢忧伤写的一篇关于这个漏洞的文章，本来他说要好好写下再发，可我等不及了

作者：喜欢忧伤　　http://www.powers.com.cn

问题的产生
1.&用来连接两条Dos命令，就是cmd.exe 会把&前后的命令分开两句来执行
2.wis这个工具没有过滤&

所以在
你用这个工具去扫描别人的时候就会出问题
正常情况下是
你的cmd.exe下执行wis http://www.xx.com/?xx.asp?id=123
没什么问题


如果碰到
http://www.xx.com/?xx.asp?id=123&net user test 123 /add
的时候就变成你的cmd.exe执行
wis http://www.xx.com/?xx.asp?id=123&net user test 123 /add
看清楚了

这个语句中有一个&，所以相当于
wis http://www.xx.com/?xx.asp?id=123
net user test 123 /add
也就是在你的机器上执行了两个语句。。。
wis http://www.xx.com/?xx.asp?id=123
没问题，执行后半句的时候就来问题了，增加用户了

那你机器上当然添加了一个帐号了

当然，　还有更狠的：
http://www.xxx.com/a.asp?id=1&format d: /q
http://www.xxx.com/a.asp?id=1&format e: /q
http://www.xxx.com/a.asp?id=1&format f: /q
......
[url]http://www.xxx.com/a.asp?id=1

Zhouzhen你理解错了.
如果说网页的连接中存在
a.asp?id=a&net user kevin k /ad
这样的话wis检测的字符串是
wis http://target.com/a.asp?id=a&net user kevin k /ad
这样就符合了你说说的
1.执行wis http://target.com/a.asp?id=a
2 net user kevin k /ad
明白了没?

呵呵。。是漏洞描述讲的不清楚啊。。kevin1986兄见笑了。。。：-）

当时漏洞说的很模糊，zhouzhen兄分析的没有问题，zhouzhen只不过没有把网页的连接中参数考虑进去分析，后来漏洞有了补充，再用zhouzhen兄分析的来想，也是没有问题的。

这人的命令行首先就没把概念搞清楚.&符号明明是ms的保留字符.怎么在参数中过滤?

引用:

下面是引用我非我于2005-02-10 15:30发表的:
这人的命令行首先就没把概念搞清楚.&符号明明是ms的保留字符.怎么在参数中过滤?

我非我兄弟，晕哦。。。

你说的&是保留字符是没有错啦。但是是可以过滤的。看看偶的分析

先细分一下那个扫描过程：
(1)从扫描的网页里获取那些连接的，
(2)然后对那些连接进行漏洞检查的。。

在(1)获取的同时或者马上进行检查不就可以了吗？
又不要在(2)步里检查,根本就跟&是保留字符没有关系。

当然如果到第二步的时候再检查当然是不可能的啦。



。

喜欢忧伤 技术不错 VIP系统关注ing：）

楼上太给面子了,偶继续向各位高手学习中.....

开放 火焰 netpatch 喜欢忧伤 xfire 4位会员的VIP权限

请几位技术人员自行阅读VIP申请规则 已经通过 但是希望还是阅读一下：）
http://www.eviloctal.com/forum/r ... oread=1&fpage=1

谢谢楼上的大方:给偶开vip权限了。谢谢.
申请规则也读了,同时偶发了个帖子.
偶继续向高手学习中

不是漏洞，什么都不是：你不会
wis "http://www.xx.com/?xx.asp?id=123&net user aaa /add"

这样没事了八

你不会
wis "http://www.xx.com/?xx.asp?id=123&net user aa ss /add"
,沙事没有