根目录下的price.asp文件,因为变量没有经过任何过滤就直接带如数据库查询,漏洞由此产生,利用者可以在百度搜索关键字“inurl:Price.asp?anid=”来批量拿站,如图1所示,可以搜索到9099个结果,可见网趣这套系统人气还是很不错的。

网趣shopV9.7注入漏洞及修复方案


下面我们来看漏洞的利用方法,在虚拟机里把网站搭建起来,网站的主页如图2所示,爆管理员帐号和密码大家只要直接在网站地址后边加上“

price.asp?anid=36%20and%201=2%20union%20select%20admin,2,3,4,5,6,7,8,9,10,11,12,13,14,15,admin,17,18,19,20,21,22,23,24,25,26,27,password,29,30,31,32,33,34,

35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50%20from%20cnhww
”即可,如图3所示

网趣shopV9.7注入漏洞及修复方案


“商品序号”中是管理员的用户名,“会员价”中是网站管理员经过MD5加密的后的密码,我们把密码拿到在线MD5网站去破解,得到明文密码为“admin”,当然我们还可以使用啊D程序来批量拿站,在啊D的设置中添加一个“cnhww”的表名,之后选择相应的网站就可以开始爆破了,如图4所示。

网趣shopV9.7注入漏洞及修复方案


网趣网上购物系统的默认后台是/admin/login.asp,接下来我们进入后台拿Webshell,毕竟这才是本文的重点,网上虽然说到可以直接进后台备份数据,但是按照常规的上传图片,数据库备份方法试了一下,这种方法无果,这也让我联想到了在2010年第二期txcbg写到的网趣V9.6的批量拿Webshell文章,在文中他也提到了利用这种方法是行不通的,那么我们来看下他提供给我们的另外一种获取Webshell的方法,首先我们要先来到“数据库备份”操作区,在“备份数据库目录”选项中,把原有的Databackup目录修改为Databackup.asp(注意不要省略前面的点号)之后点击“备份”,就会出现如图5所示成功页面,而且会在程序的根目下生成一个Databackup.asp文件夹,这样子我们就可以在此目录下上传图片木马,接着利用IIS解析的漏洞成功的获得webshell如图6

网趣shopV9.7注入漏洞及修复方案


网趣shopV9.7注入漏洞及修复方案



接下来来到“添加商品”处单击“上传小图片”,在弹出的网址/PreviousFile/2010-09-15/HackNote.Com104954734.jpg,好了接下来重组一下地址,用一句话连接下一看能否成功,如图8所示一句话木马成功连接,并且在同目录下生成了小马。

网趣shopV9.7注入漏洞及修复方案