114论坛漏洞快速利用法

　　前段时间114论坛的论坛闹的是沸沸腾腾，而利用漏洞的朋友则是来采用抓包修改，然后nc提交方式来利用此漏洞，我想来想去觉得此利用过程是不是太繁琐了点，于是合计着化繁为简，剩下部分请看下面的文章。

　　我们先看看此漏洞的漏洞描述，如下:

　　网站114论坛 2005版正式

　　/edituserdb.asp

　　对提交数据和cooikes缺乏验证

　　导致任意用户可以修改管理员密码

　　默认后台admin/index.asp

　　我们注意看漏洞描述的第2行“对提交数据和cooikes缺乏验证”这句，既然缺乏cooikes验证我们又何必再抓包来修改cooikes呢，直接修改vlue值然后本地提交不就可以了。接下来我开始验证我的想法，打开百度搜索114论坛的特征字:“版权所有 设计制作:网站114”，显示出一大堆此类型站点，随便打开一个开始测验。首先随便注册个用户，这里我我注册的用户名是888888，密码是888888，如下图所示:

　　注册完后，我们接下来点击我的资料，进入资料修改页面，这时我们把这个页面保存大本地，接下来我们用记事本打开这个文件进行编辑，修改如下2处位置:

图二



图三

　　其中图二中的action值把他的相对路径改为绝对路径，图三中把用户名的value值改为admin，最后点击保存即可。

[1] [2] 下一页