显然没有任何过滤,直接写入数据库,跨站产生了.由于数据库是mdb格式的,所有插马也没用.这里就想到了是否可以备份数据库?进入后台看到数据库备份,查看如图03:

看到了没,数据库路径和备份文件名都不能修改,有些朋友可能就到这里停止,其实不然,还可以继续,经验告诉我,他是将该输入框写成hidden隐藏域了,查看文件/admin/Admin_Data.asp代码如下:

看到这行type=hidden,猜测没错.那也就是说同样可以备份任意文件了.所有后台拿shell比较简单了.(插马备份数据库比较麻烦,要绕过<%loop<%,在上期我给大家讲过绕过<%loop<%的方法)那至于跨站如何利用?没错,配合ajax提交给后台管理查看评论就会自动备份数据库了,但是这里数据库有防下载表导致利用起来有麻烦,另外普通用户没有办法上传任何文件,不然可以通过上传一个图片格式的***,然后通过跨站利用ajax自动备份文件.这个跨站在 ACCess中无法利用,在MSSQL版本中就可以思考了.作为技术讨论,我还是给出ajax代码,假设我可以上传一个图片格式的*** upload/2009082150598817.jpg,现在我通过跨站备份这个文件成asp文件,经过分析写出代码如下(保存下面代码为 l4nk0r.js上传到你网站):

然后在你要提交的地方提交 这样当管理员查看这条评论就会触发了.不过这个漏洞在这个系统中是鸡肋,只是借这个机会和大家分享这个思路.下面进入主角讨论
三.利用or构造SQL继续注射
漏洞文件:admin/admin_cklogin.asp,后台登录验证文件,发现注入漏洞,代码如下:

好了,注入原理就不废话直接进入利用.查看数据库管理员表中默认只有一个管理员,而且这个管理员用户名可以修改.如果默认管理员没有修改可以利用and语句来注入,这种注入语句也比较简单,这里不讨论.考虑到通用性如果修改了?前台没有一个地方可以找个管理员用户名的痕迹.好了…那么我们就谈谈如何利用or 来注入(非万能密码,是不行的.).
先说下注入结果有3种:
1.  提示”管理员名称不正确，请重新输入”,说明注入语句没正确构造或者正确构造了但sql不成立;
2.  提示” 管理员密码不正确，请重新输入”,说明注入语句成立;
3.  直接跳到Admin_Cklogin.asp显示空白页面,表示你的密码也正确了.这种情况基本不可能,不然也不用这么费劲了.
分析下这sql语句

变量名通过2个单引号包含,必须注意闭合,只要SQL成立就会正确注入,那么我们利用or注入就会想了如何才能同时满足这些条件?没错,让前面的为假,or后为真即我们的注入语句,最后一个or是一个闭合符号且为假,总体逻辑为
      假 or 真  or 假   ->结果为真,提示密码错误
      假 or 假  or 假   ->结果为假,提示用户名错误
ok原理思路明白了,可以构造出如下SQL语句.
(1)  1' or (select count(*) from zhi_rui_E_manage)>2 or '1'='2 (判断管理员是否大于2个)
(2)  1' or (select asc(mid(adminname,1,1)) from zhi_rui_E_manage where id=1)>96 or '1'='2(判断id=1的用户名的首个字母的ASCII码是否为a,依次换位判断就可以得到管理员用户名)
(3)  1' or (select asc(mid(password,1,1)) from zhi_rui_E_manage where id=1)>96 or '1'='1
(判断id=1管理员密码的MD5散列的首个字符的ASCII码是否大于96,同理依次判断可以得到32位MD5散列)
以上如果成功怎返回如图04,

如果不成功返回如图05

如此耐心的手动猜解就得到管理员名称和密码了.至于后台拿shell,方法很多,我提两个比较简单的方法:
1.  网站配置文件插马
在配置文件随便一个信息中填入