如图8

简直不可思意 成功的在主页里显示出了百度 这样我们即使拿不到WEBSHELL 也不要管理员权限
只要注册一个普通用户就可以随意在主页挂马

看来管理员真的太疏忽了。 后来我又仔细看了一下代码。 发现作者没有过滤语句就插入到了数据库
而且直接就在首页进行显示... 跨站竟然跨到主页。 汗了。 第一次遇见 这个页面的文件代码太多了 我就不做解释了 有兴趣的朋友可以
自己去下套云网论坛来瞧瞧

另外一个地方能跨站的就是博客那里。 想必到了现在我也就不用再去写了 没意义了 主页都能挂马还什么不能呢？？
在创建博客的时候我们要写入配置信息。 一样我们写入跨站代码。这里依然是没有限制的。
如图9

这样不管是任何人访问我们的博客或者查看文章都会发生跨站。 一样 我们要是挂马的话。。嘿嘿

另外这套程序还有一个致命的上传漏洞。 我会在下次的文章里给大家发出来。我们知道上传漏洞是直接可以拿到SHELL 而JSP马默认的就是
root权限 也就是说我们拿到了SHELL也就相当于拿到了服务器 至于注射漏洞。 我是没看出来
作者对参数都进行了强制转换
一个getint()函数将所有数字型都给杜绝了 不过还有字符型 本人菜鸟 实在看不出来怎么突破 比如在注册用户的那里
代码如下

以下是引用片段： <% String op = ParamUtil.get(request, "op"); if (op.equals("chkRegName")) { boolean re = false; try{ String regName = ParamUtil.get(request, "RegName"); re = userservice.isRegNameExist(request, regName); } catch(cn.js.fan.util.ErrMsgException e) { out.print(e.getMessage()); %> <script> window.parent.showCheckResult("span_RegName", "<%=e.getMessage()%>"); </script> <% return; } if (!re) { %>

可以看到我们输入的数据并没有经过过滤就进行了查询 但是具体的因为作者用javabean给封包了 所以看不到查询内容
这个漏洞曾云好大哥也提到过 说是比较的鸡肋 但是我觉的这里算是唯一的突破点了。 我也在测试 争取下次跟上传漏洞一块发出来
论坛后台能拿SHELL的方法很多 最简单的就是添加一个JSP的上传类型 直接over

上一页  [1] [2] [3] [4] [5]