华速网游交易平台SQL注入

基本字段

漏洞编号：: SSV-89413

披露/发现时间：: 未知

提交时间：: 2015-09-14

漏洞等级：

漏洞类别：: SQL 注入

影响组件：: HSWYJYPT

漏洞作者：: 未知

提交者：: 匿名

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Ra8er 共获得 0.7KB

SQL注入一:漏洞文件：/help.asp这里id参数过滤不严存在sql注入的，但是conn.asp中包含了：<pre class="lang-php" data-lang="php">  <% if trim(request("id")) &lt;&gt; "" then set rs=conn.execute("select * from help where id ="&amp;trim(request("id"))&amp;" order by paixu asc") if not rs.eof then title=rs("help_title") content=rs("help_content") end if else set rs=conn.execute("select top 1 * from help order by paixu asc") if not rs.eof then title=rs("help_title") content=rs("help_content") end if end if%> </pre>SQL注入二漏洞文件：/card_server.asp这里没有直接包含数据库连接文件，直接创建了连接对象，导致这一个注入是无法被sqlin.asp防御，注意,Request的sel参数没有过滤直接带入查询导致了SQL注入。简单构造一下注入点：<a href="http://127.0.0.1/card_server.asp?sel=1">http://127.0.0.1/card_server.asp?sel=1</a>′Microsoft JET Database Engine 错误 ‘80040e14′ 字符串的语法错误在查询表达式 ‘parentid=1” 中。 /card_server.asp，行 28GETSHELL：漏洞文件：/SqlIn.Asp<pre class="lang-php" data-lang="php"><function OpenDB(sdbname) { /* *--------------- OpenDB(sdbname) ----------------- * OpenDB(sdbname) * 功能:打开数据库sdbname,返回conn对象. * 参数:sdbname,字符串,数据库名称. * 实例:var conn = OpenDB("database.mdb"); *--------------- OpenDB(sdbname) ----------------- */ /*var connstr = "driver={SQL Server};server=.;uid=sa;pwd=7881541;database=wangyou";*/ var connstr = "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="+Server.MapPath(sdbname); var conn = Server.CreateObject("ADODB.Connection"); conn.Open(connstr); return conn; } var oConn = OpenDB("HSGAMEDB/#HSgame201008041121.asp"); var sel = Request("sel"); var classid = Request("classid") var fieldname = Request("fieldname") var arrResult = new Array(); //var sql = "select "+fieldname+" from game_class where parentid='"+sel+"' and classid="+classid; var sql = "select * from card_class where parentid="+sel+""; //Response.Write("alert("+sql+")") var rs0 = Server.CreateObject("ADODB.Recordset"); rs0.Open(sql,oConn,1,1); while(!rs0.EOF) { //遍历所有适合的数据放入arrResult数组中. arrResult[arrResult.length] = rs0(0).Value+"|"+rs0(1).Value; rs0.MoveNext(); } //escape解决了XMLHTTP。中文处理的问题. //数组组合成字符串.由","字符串连接. Response.Write(escape(arrResult.join(","))); %> </pre>这里直接将用户非法提交的字符串写入了sql_whelpu.asp的数据库里面了，试想一下，如果故意加入一句话不就可以GETSHELL了吗？在没有被人插入过asp的<%%>符号则可直接访问：当然如果有被人提交过的需要注意闭合就可以获取webshell了~ 这里成功将一句话写入数据库：sql_whelpu.asp，我们打开看看是不是呢？