如发现有乱码，请点击下面链接浏览原文
正文摘录:

象是字符型的，可事实}：，这个位置应该是数字型的注入。我们构造如下的语句，newcomment.asp?ChanneIID=1&ModuIeName=ArticIeAonC.InfolD=A。ArticIelDwhereA.ChanneIID=1anduser＞0--。这样在MSSQl_的动易中，我们就可以爆出当前数据库的名称来。具体MSSQI。的注入得到权限的方法，在此就不细衷了，留给钎位读者自己动手。下面说说这个漏洞的修补方法，方法很简单，找到以下代码：将其更改成漏洞二、网站aPi接口注入漏洞。api／APlResponsc.asp文件存在着一个比较隐蔽的注入漏洞，当然这经过分析一样可以进行利用，而且住AcCESS版本中一样可，丁。我们来一步一步分析，首先看看api／APlRcsponse.asp文件的前儿行是怎么得到参数的。I!曩曩¨¨蝌j“-…曩强曩i舞只曛譬lt藩嘲蓐《$口^syskey，1)兰Trim(Reaueet.QueryString(sPE—Items(eonSysKey,O)强一。。jiiSPE己Jrt“emnss(、con^Ueernamefl≯=“Trim(Requeet.Ouery…Strtngi(sPE1tems(coilUserName.0))≯sPECItems(盎蛰n黪88s撕ord，1)=Trim(Beeueet.OueryString{sPElItemE(cOnIDaSsword，…)sPEJtems(cenSa~e6eoki岳i“一Trim(ReqUeS妊Que嚏St|ing(S~Eiterns‘。onsave。。okj。l，㈨。J人家可能会看糊涂，呵呵，其实我弟一一次也没看懂这是怎么回事，不过大家看看它们包含的apj／APlFullctioll.asp文件也忱明白r，向垣的代码如F：Ijconsts。nu。ern8me$5j。Redims,Eftem§(30，1≯…spEJtem$(5，O)=”Usemame”ioi?PE_Jtems叫_l¨¨li0熬麓箍滋簿然摹p窖羔lt每糯g《西6砖精每茜≯b矗赫每誊们攀女蕈F；mf8e球』毪g氍QuefyStfIn鲁t“UseFName”，}一曩毒SPEj：ielm引Ga拜pla每宣wo州，”=。Trim{Re强让謦8t毪畦谚F壁Str{ng∥’p奇ssword”1，～。ls8量dt费糟8f《奄搬Saveee0暇le。1)=Trim(R县qu台stlQ臼eFys竹融“’e确s爵ve#0~kie’’))¨I厂conn|Execute(EluPDATEPKUser直接进入数据库了们还要查看耍执行到这还有别的什么限制没有。始的代和j始】下：__j当然，我一个代码，第38行l丌FItN。tchecksysKey(sPE—ltems(conUeername，1)，aPEItems(conSyskey,∞}ThenExitS孰ubEnd{fI__而ChcckSYsKey过程在第521行，我只选两句重要的代码列出来。r—lChecKSysKey(“,Name，iSysKey)strPEKey=Md5(iName&API_Key，16)IfLca8e(iSysKey)耳Lcase(strPEKeY)Then卟eckS…。“。…一True--Il我们的目的就是要CheckSysKey过程返回true，这样就能让代码顺利执于亍下去了。听以我们要满足的条件是userNaine参数的值加LAPIKey变量的值的MD516位加密后要和我们的sYskeY一样，否则代码就不会执行下去。APIKey证动易里面的默认值为“APITEST”，所以如果我们要构造username----admin’anduser＞0一一，那么我们的syskeY就应该为adminanduser＞0----APITEST的16位MD5加密的字符串，因此我们就构造如下语句进行测试，APlResponse.asp?savecookie=l&password=123456&syskey=8c2fc050de9038c19c6c942c1925e103I＆userneme=admin’anduser＞0----，这样就可以得到当前用户名了。不过这个漏洞对于ACCESS数据库也能使用的，也当作课外怍业留给各位读者去自由发挥了。现任我来讲讲怎么修补这个漏洞。我们直接血得到参数那氍，进i了一下单引弓的伶测就行了。然后再修改api，／AI’lConfig.asp里而APlKey的默认值，就可以有效旧防止这个文件的MSSQL注人了。漏洞三。count／counter.asP此文件也存在多个注入漏洞，但足此漏洞利用小广，因为这个统汁的东西是本身独立的数据库，很少有用户使用动易自带的这个功能，不过既然说了这么多了，还是简单的讲讲。来看‘卜第343行开始的代码：