网趣可以改名成洞趣了

网趣网上购物系统时尚版10.3在会员登录编辑订单处存在SQL注入，导致管理员密码被注入暴MD5漏洞。

漏洞:文件editorderform.asp，存在sql注入漏洞

关键字：inurl:trends.asp?id=

利用前提：注册用户下定单

分析：

源码如下：

<%dim zhuangtai,namekey
namekey=trim(request("namekey"))      只是单单过滤了空格而已
zhuangtai=trim(request("zhuangtai"))
if zhuangtai="" then zhuangtai=request.QueryString("zhuangtai")
if namekey="" then namekey=request.querystring("namekey")
%>

………………

//按用户查询
if zhuangtai=0 or zhuangtai="" then
rs.open "select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai<6 and username="&namekey&" order by actiondate desc",conn,1,1
else
rs.open "select distinct(dingdan),userid,userzhenshiname,actiondate,songhuofangshi,zhifufangshi,zhuangtai from orders where zhuangtai="&zhuangtai&" and username="&namekey&" order by actiondate",conn,1,1
end if

admin目录下的editorderform.asp文件未做session验证，且对namekey过滤不严，直接导入查询产生SQL注入漏洞。

利用如下：

首先注册一个用户，随便找一样东西购买下一个定单，产生一个定单号。

如图:

好了，定单号产生，那么，我们接着就直接打开网站

http://www.chinasg.tk/admin/editorderform.asp?zhuangtai=0&namekey=qing

其中的namekey=qing，qing替换成你注册的用户名，

把这个URL放到NBSI当中，关键字为“1笔”，手动添加表名cnhww，结果如图所示：

好了，拿着跑出来的密码去cmd5解一下，再登录后台，

后台拿shell的话，备份和上传那里都可以,我就不详说了。

 

修复方案：

对admin目录下的editorderform.asp文件做session验证，对namekey严格过滤