华夏外挂下载系统2.0漏洞利用

大家对外挂这个词肯定不陌生吧？这可是玩网络游戏必备工具啊。现在的很多东西都商业化了，外挂也不例外，好不容易找到个好点的外挂，但是点击下载的时候居然说要收费，真是气死人。今天我们就一起来看一个外挂下载系统存在的漏洞。
华夏外挂下载系统是国内使用比较广泛的一个外挂下载系统，但是它存在的问题却不少。我们先看看SoftView.Asp文件的漏洞代码。

if request.QueryString("SoftID")="" then
response.write "您没有选择相关软件，请返回"
response.end
end if
set rs=server.createobject("adodb.recordset")
sql="select Category.CateName,SubCate.SubCateName,SoftInfo.SoftName,SoftInfo.CateID,SoftInfo.SubID from SoftInfo,Category,SubCate where SoftInfo.CateID=Category.CateID and SoftInfo.SubID=SubCate.SubID and SoftInfo.SoftID="&request.QueryString("SoftID")
rs.open sql,conn,1,1

这段代码一开始做了是否为空的验证，但因为是直接判断request.QueryString这种形式，所以形同虚设。再看看后面“SoftInfo.SoftID="&request.QueryString("SoftID")”这句代码，softid明显没有过滤就进库查询了，这就导致了注入漏洞的产生！

由于它是使用联合查询的形式来接收数据，所以我们就不能使用union来直接暴密码了，还是脚踏实地的猜密码吧！随便打开一个使用“华夏外挂下载系统”的网站来测试（我是在本机测试的），点击一个外挂，得到这样的地址“http://127.0.0.1/lala/SoftView.Asp?SoftID=367”，OK，我们提交“and 1=1”和“and 1=2”看看，分别返回了正常和错误页面，说明注入漏洞确实存在。我们用NBSI来进行注入即可，把地址放进NBSI里，密码很快就能猜解出来了，如图1所示。密码是用MD5加密的，到www.cmd5.com或www.xmd5.com查询一下，得到破解后的密码是“wg00.com”。在地址栏后面加上“/admin/adminlogin.asp”，用得到的账号和密码即可登录后台，如图2所示。

图1

图2

现在就差拿WebShell了。打开后台里的“添加文章”，其中有个上传的地方，我们上传一个改了后缀的超浓缩DIY小马上去，记录下地址，然后再在“数据库管理”里把这个文件备份成ASP格式就可以了，具体我就不多说了，不熟悉的朋友可以翻看一下以前的黑防。

除了这个漏洞以外，SoftList.asp文件也存在漏洞，部分代码如下。
if request("CateID")<>"" and request("SubID")="" then
CateID="CateID="&request("CateID")"
sql="select CateName from Category where CateID="&request("CateID")
rs.open sql,conn,1,1
SoftDownName=trim(rs("CateName"))
CateName=trim(rs("CateName"))
rs.close
end if

其中的CateID没做过滤就进库查询了，我们用明小子的DOMAIN3.5进行注入看看，确定漏洞确实存在，如图3所示。

图3
好了，关于华夏外挂下载系统2.0的漏洞就分析到这里了，如果大家有什么问题的话，可以到黑防论坛来找我，我的ID是“诚妹”。

Form：黑白前线，作者:阿诚