| 之所以对“网趣网上购物系统”发生兴趣是源于朋友的一次安全测试,被测试目标的 网站上有很多网站系统,其中就有“网趣网上购物系统”。虽然是第一次接触这个系统,但 是其安全性确实令我还是惊讶了,请不要误解,不是因为它太安全了,而是因为它的漏洞太直白了,直白得让我有些怀疑时光是不是又退回到了那个注入漏洞最盛行的年代。要知道, 随着这几年安全漏洞技术的曝光,网站系统开发人员对注入漏洞的防范十分关注,最简单的方法就是利用一些防注入系统来防范可能存在的注入漏洞。然而,“网趣网上购物系统”的 开发者似乎对此毫不知情,这就让漏洞有了可乘之机。 我们这里测试的“网趣网上购物系统”其版本为“ 网趣网上购物系统时尚版v11. 0” 该系统的开发方是石家庄恒伟网络科技有限公司,并且该系统还有软件著作权证书登记 号:20075Sr2047。从这一点可以看出,“网趣网上品,这是值得表扬与肯定的。 顺利在本机上搭建好iis环境,将“网趣网上购物系统”解压设置完毕后,我们就可以看到其使用界面了,如图1所示。  从图1中我们看得出,“网趣网上购物系统”是一款比较清爽的网上购物系统,适合于中小型网站使用。在没有阅读网站代码之前,我拿出啊d注入工具对网站进行一个注入点扫描。 很幸运,啊D注入工具发现“网趣网上购物系统”存在注入 点:http://127.0. 0.1/products.asp?id=352。下一步,我们就可以直接对该注入点进行注入,使用啊d注入工具中的“sql注入检测”就可以完成这个工作。不过,在此之前,我们需要看一看“网趣网上购物系统”这个注入点发生的原因。用记事本打开“products.asp”文 件,我们在其中赫然发现了一段危险的漏洞代码: rss.open〃select * from products where bookid="&request. querystring(〃id〃), conn, 1, 3 真是怀疑自己是不是看错,这样不安全的代码编程人员也敢写出来。"id"这个来自用户端的参数没有经过任何安全过滤就被直接放入了数据库查询语句中,难怪会发生注入漏洞。 既然找到了注入漏洞,我想下一步的测试也就简单了,通过注入漏洞找出管理员的账 户和密码进入后台。由于“网趣网上购物系统”的数据库中没有采用传统的命名方式来定义管理员表,而是采用一个名叫“cnhww”的表来存储管理员信息,所以,我们需要在啊0注 入工具中手工输入被猜解表名,接着就可以找出管理员的所有数据信息,如图3所示。  利用md5解密网站,我们可以破解出被加密的网站管理员密码,然后成功登录网站后台, 如图4所示。  登录后台后,我们需要做的就是看能不能找出上传WebShell的地方,这样子我们就 可以控制到服务器,获取到更高的权限。在网站后台的“添加商品”栏目中,我们发现了上传图片的地方,如图5所示。  点击“上传小图片”按钮后,浏览器会弹出一个新的窗口,这个窗口就可以用来上传图片。 针对图6的窗口,我们查看其源代码发现了一个可以上传webshell的机会,其代码如下: <td align="center"background="images/admin_bg_l.gif^><b><font color=〃ffffff〃>图片上传 <input type=〃hidden〃 name=〃filepath〃 value=〃upfile/proimage/〃> 〈input type=〃hidden〃 name=〃filelx〃 value=〃jpg〃> 原来当我们在图6中上传图片的时候,浏览器提交了一个参数“filepath”,该参数再被传递到网站后台文件后,它被当做了被保存上传文件的名称。我们可以打开系统用来负责 保存上传图片文件的网站文件“upfile.asp”来看一看,代码如下(注意看解释部分):FormPath=Upload.Form("filepath")//注意这里获取了浏览器提交的filepath参数… If Not ( CheckFileExt (FileExt) and CheckFileType (File.FileType) ) Then Response. Write 〃 文件格式不正确 [〈a href=# onclick=history.go (-1) >重新上传〈/a> ] 〃 End 1丨//很有趣,这里在发现文件格式不正确后没有及时阻断代码的继续执行,所以及时发生文件格式出错,下面的代码依旧会被执行 |
