|
尘缘雅境图文系统漏洞分析 |
|
|
|
|
|
先声明以下所有的漏洞都不是我首先发现的!我只是整理把文章写出来!
版权声明:版权归发现者所有,转载请保持文章完整性,注明出处!
此文章只做学习研究用,个人用于其他非法用途,本人不承担一切责任!
作者:黑萝卜
系统 :尘缘雅境图文系统(还有沸腾修改版等)
版本:当前所有版本
漏洞:1 可以注册管理员
2 可以通过保存远程图片功能直接上传ASP木马
漏洞 1 注册管理员
漏洞页面 saveuser.asp
这个页面 里面接收了adduser.asp的参数,看代码
fullname=htmlencode(request.form("fullname"))
content=htmlencode(request.form("content"))
passwd=md5(trim(request("passwd")))
question=htmlencode(request.form("question"))
answer=md5(trim(request("answer")))
username=htmlencode(request.form("username"))
email=htmlencode(request.form("email"))
purview=request.form("purview")
oskey=request.form("oskey")
sex=request.form("sex")
birthyear=request.form("birthyear")
birthmonth=request.form("birthmonth")
birthday=request.form("birthday")
tel=htmlencode(request.form("tel"))
depid=request.form("depid")
ip=Request.serverVariables("REMOTE_ADDR")
jingyong=request.form("jingyong")
reglevel=request.form("reglevel")
photo=request.form("photo")
set rs1=server.createobject("adodb.recordset")
sql1="select * from dep where id="&depid
rs1.open sql1,conn,1,3
depname=rs1("depname")
deptype=rs1("deptype")
rs1.close
set rs1=nothing
其中有几个参数注册的时候不用填 purview oskey reglevel jingyong 其中purview 和 oskey是关键!
在adduser.asp里面可以看见
<input name="purview" type="hidden" value="1">
<input name="oskey" type="hidden" value="selfreg">
<input name="reglevel" type="hidden" value="1">
<%if fabiao=1 then%>
<input name="jingyong" type="hidden" value="0">
<%end if%>
其中purview 和 oskey是关键!他们是表示用户等级的!
这样就导致了我们可以直接修改提交值然后本地提交表单注册管理员!
把purview改为99999 把oskey改为super 然后提交就成功注册管理员!
这个方法在沸腾官方网站测试通过!
至于接着怎么去拿WEBSHELL就交给各位去研究了!
漏洞2
保存远程图片漏洞
这个漏洞已经发现很长时间了,一直没有人写文章!
很简单,他的上传已经过滤了,但是还有个插入图片,可以填远程图片连接!这个地方没有任何验证!并且可以保存在本地,所以可以导致漏洞!
这个漏洞官方网站已经修补,但是大多数用这个系统的网站都没有补!
在百度中查找更多尘缘雅境图文系统漏洞分析 的内容
|
|
|
|
|
|
“ 尘缘雅境图文系统漏洞分析 ”来源于网络,版权归作者所有!勿用于商业用途。 |
|
| |
本类阅读TOP10