[转载]极限论坛系统漏洞

漏洞整理：LvHuaNA（火狐 )[ F S T ]

***************************************************************

用百度搜了一下，用这种论坛的用户还真不少，大家可以用"EzRick.com All Rights"做关键字搜一下就知道了。
论坛的置顶帖子存在注入漏洞，大家打开置顶帖子后联接都是这种形式"showtopic.asp?TOPIC_ID=111&Forum_ID=11"当我们去掉后面的"&Forum_ID=11"，注入点就出现了。
然后我们在注入猜解工具的表段名里面添加上"Forum_UserDB"就可以跑出论坛的用户名和16位md5密码散列。大家可以用md5破解工具跑出管理员密码，祝大家好运！