漏洞平台：领智网站系统 v3.0 正式版

平台版本：通杀3.1以下所有用户

漏洞名称：SQL注入

危害程度：★★★☆☆

来源:马骏's blog

*************************************

关于领智:
领智科技(www.lz8.net）是一个以技术为核心的、中国领先的互联网技术团体，在开发互联网应用、网络集成及软件开发方面，领智科技始终保持国内业界的领先地位。领智科技利用最先进的互联网技术，加强人与人之间信息的交流和共享，是互联网界著名的网络品牌。

**********************************************************************

漏洞简介:

SQL注入.入侵者可通过此漏洞拿到webshell.甚至整个服务器

**********************************************************************
他的第一个漏洞出现在user目录下的soft.asp文件中.这个我一直就没看出有什么异常.我拿了几个站来测试都未发现问题

引用狗狗的blog上的文章

http://77889.org/b/article.asp?id=170

 

领智网站系统(LeadWit WS 3.0)注入 Google-LeadWit WS 3.0

注如点 /User/Soft.asp?ChannelID=9

管理员表段：LZ8_Admin

后台-小马-备份.....OK, CN的BLOG里面很详细,..闪人,记录下,刚也拿了个....

这个我就不清楚是什么情况了

另外一个存在bug的文件是存在于跟目录下的ShowInfo.asp文件

这个文件是提供返回错误信息的

大家请看这个段代码

block = Replace(block,"{$Info}",GetTemplates(Request("cnlid"),Request("tmptp"),request("Info")))
  Case Else 
   block = Replace(block,"{$Info}",RePlace(request("Info"),"%20"," "))
 End Select
 if Session("ComeURL") = "1" then
  block = Replace(block,"{$ComeURL}",Request.ServerVariables("HTTP_REFERER"))
 elseif Session("ComeURL") <> empty then
  block = Replace(block,"{$ComeURL}",ComeURL)
 else
  block = Replace(block,"{$ComeURL}","javascript:history.go(-1)")
 end if
 Session("ComeURL") = empty
 LZ8.footer(block)
End Sub

Function GetTemplates(P_ChannelID,P_TemplateType,P_LanguageID)
 dim SQL,RS
 SQL = "Select LanguageContent from [LZ8_Template] where Deleted = 0 And TemplateType = "& 1;create " And ChannelID = "& P_ChannelID

 

很明显的

GetTemplates(Request("cnlid"),Request("tmptp"),

GetTemplates(P_ChannelID,P_TemplateType,P_LanguageID)

根本就没做任何过滤就直接写到数据库里了

where Deleted = 0 And TemplateType = "& P_TemplateType &" And ChannelID = "& P_ChannelID

我们可以在

TemplateType =  后边加上我们要执行的语句

具体怎么弄这个大家自己去试

我给大家构造个url地址吧

http://www.xxx.com/ShowInfo.asp?action=tmp&cnlid=0&tmptp=2

关于这个漏洞的修补方法

我建议大家打上官方的最新补丁