易得新闻系统有问题

领测软件测试网
我几乎从来都没有很好的完成过一次完整的Sql Injection，所以特别希望能够有一次这样的经历。

终于昨天（昨天晚上太晚，所以今天玩完）一次的偶然机会，让我遇见了这样一个网站，她的新闻发布系统的shownews.asp没有很好的处理参数id。
/news/shownews.asp?id=5' 返回结果是：
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' 
[Microsoft][ODBC Microsoft Access Driver] 字符串的语法错误 在查询表达式 'id = 5' 中。 
/news/shownews.asp，行26 

这至少可能是一个使用ACCESS数据库的新闻发布系统。我用LANguard3简单扫描了一下，UDP端口1434是打开的，所以首先尝试着用
shownews.asp?id=5';exec master..xp_cmdshell 'net user mix /add';-- 想想添加账户，但是没有成功，返回结果是：
[Microsoft][ODBC Microsoft Access Driver] 语法错误 (操作符丢失) 在查询表达式 'id = 5';exec master..xp_cmdshell 'net user mix /add';--' 中。

Envymask提醒我这应该是Access的数据库，所以我只好慢慢的进行拓展。首先是猜猜看这个新闻发布系统是不是有免费的代码下载，我没有在他任何页面中看到有这个系统的版本，不死心的我直接在google中搜索/news/shownews.asp?id= ，由于这种命名太普通了，很快我就从一大堆网站中退了出来。我们需要找个名字有点特别的文件才好找。

再看看有没有熟悉一点的表名，比如：
shownews.asp?id=5 or id in (select id from admin)
猜了很久也只猜到一个news得表单，没有什么用。

再想想，这种新闻发布系统一般都有管理员登陆的后台程序的吧，不知道密码会不会是弱智。很快就猜到了直接访问/news/admin就有一个要求输入密码的页面，试了一会儿还是进不去。但是另外一个地方吸引了我，就是提交密码后返回错误的那个文件/news/admin/chklogin.asp 。

我马上用google搜了一把，在一个医院网站上看到了有这个文件，到她的/news/admin/一看，密码输入提示中清楚地写着易得新闻系统，我想要的那个该死网站怎么这个都改掉了，害得我走了这么多的弯路。下载易得新闻系统免费代码1.0，打开他的readme，试了试默认密码yide，不行！数据库中存放密码的是siteman表单中的pwd值，当然就先猜猜看他的第一位密码是什么：
and 1=(select pwd from siteman where left(pwd,1)='y')
结果正常返回页面，但新闻没有找到。再试试看：
and 1=(select pwd from siteman where left(pwd,3)='mix')
返回结果和上面一样。我没有认真学过sql语句，但这些现象明显的告诉我，如果我猜密码不对才会有上面的返回结果，如果我猜的密码是对的，可能是另外一个返回结果。当然，这都只是我的一厢情愿！幸好我很快证实了我的想法：
and 1=(select pwd from siteman where left(pwd,1)='h') 返回结果是：
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07' 
[Microsoft][ODBC Microsoft Access Driver] 标准表达式中数据类型不匹配。 
/news/shownews.asp，行26 

我开始想着找个perl脚本自己改改来套这个密码了！无意中我想起了另外一件事，我还没有尝试下载他的数据库，鬼知道改了默认数据库名字没有。555 结果可想而知，她没有改，她是懒鬼，我是糊涂虫，早知道这样，又可以少走N多弯路，害得我猜密码猜了那么长时间~~~555

用密码hsj5538180登陆，这个新闻发布系统实在是简陋的可以，没有什么可利用的价值！但是在他的修改密码页面中，我看到了下面几个字：“风雪新闻中心管理密码更改”原来程序是可以乱抄的~~~哈哈哈

感谢Envymask的提醒，感谢这个网站让我玩了1个钟头！实在是我贪玩，文章没有任何新意，所以也要感谢大家有耐心看这篇文章。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/