网趣网站管理系统 V2.1 正式版 0day

作者：Samy      出处：http://hi.baidu.com/0x7362/blog
bug 1.asp :
 
<%
   Response.Cookies("Ku_USER")("User_Name")=""         
   userid=request.querystring("userid")      %>
<%
    set rsmsg=server.createobject("adodb.recordset")
    sqlmsg="select * from Com_user where comid="&userid&"" rem get数据无过滤
    rsmsg.open sqlmsg,conn,1,3
    if (rsmsg.eof and rsmsg.bof) then

      response.Write("<script>alert(""此会员不存在，请查证后再切换！！"");location.href=""javascript:history.back()"";</script>")
    else
 rem 可以通过上面代码猜测  id 欺骗登录
    Response.Cookies("Ku_USER")("User_Name")=rsmsg("username")
    response.Write("<script>alert(""切换成功，记得退出！！"");location.href=""User.asp"";</script>")欺骗
    end if
 
bug2.asp   会员中心 cookies欺骗
<%
  if Request.Cookies("Ku_USER")("User_Name")<>"" then
  %>      欢迎您：<font color="#FF0000"><%=Request.Cookies("Ku_USER")("User_Name")%></font>   <a href="User.asp">
     <font color="#FF0000">进入会员中心</font></a>   [<a href="user.asp?action=edituser"><font color="#0066FF">修改资料</font></a>] [<a href="Reguser.asp?Action=logout"><font color="#0066FF">注销</font></a>]<%else%> 欢迎您：<font color="#FF0000">游客</font>
       <a href="Login.asp">登录</a> | <a href="Reg.Asp">免费注册</a> | 忘记密码?<%end if%></td>
     <td height="20" width="57">现在是：</td>
     <td height="20" width="199"><font color="#939393"><DIV id="linkweb"></DIV></font></td>
    </tr>

后台验证文件
 
<%
if request.cookies("Com_admin")("User_Name")="" then
Response.Redirect ("Com_login.asp")
end if
%>
<%
    set rsa=server.createobject("adodb.recordset")
    sqla="select * from Com_admin where username='"&request.cookies("Com_admin")("User_Name")&"'"
    rsa.open sqla,conn,1,3
%>
 
到这里可能大家以为只要给com_admin的Cookies集赋值就可以进后台了吧！！！
 
其实它后台的每个asp文件 都有这么一段代码：

把 cookies  username的值带入sql查询  那么它默认的是comqu
 
下面为附 cookies 后台欺骗图