FileName就是要删除的文件名了,文件在;Upfiles;文件夹 。试试构造;FileName跳出这个目录 。作者也考虑到了这个问题,所以有这样一段判断代码:
if;left(trim(arrFileName(i)),3)〈〉"../";and;left(trim(arrFileName(i)),1)〈〉"/";then
虽然过滤了跳出目录的一种情况,不过我们可以构造类似http://localhost/QcNews/admin_picmang.asp?Action=Del&FileName=lake2/../../index.asp的;URL;来删除任意文件 。
5、;;;后台普通帐户直接获取管理员权限漏洞
这套系统的后台有3种不同权限的帐户:管理员、录入员、审核员 。管理员有所有的权限,录入员只能发帖子,审核员审核帖子 。但是作者最大的疏忽却是:录入员和审核员具有管理员一样的权限 。
虽然普通帐户看不到其他管理功能的链接,但是我们直接在浏览器里面输入实现相应功能的文件地址就能像管理员一样管理了 。比如说备份数据库,我以录入员登陆系统,然后直接在浏览器里输入;http://localhost/QcNews/admin_backupdata.asp;,呵呵,怎么样,可以备份数据库了哦 。其他的功能亦然 。
6、;;;后台数据库备份漏洞
嗯,从;SQL;注射到后台,现在我们可以利用数据库备份得到;webshell;了 。
还是老规矩,改;asp;为;gif;,然后上传、备份 。但是上传图片那里系统会首先检查文件是不是图片格式,单纯的改;asp;为;gif;是不行的了 。怎么办?
你一定还记得那个把;asp;代码;copy;到一个图片文件末尾的图片;ASP;法吧,呵呵,就是传这样的图片然后备份之 。
由于偶在被人家研究空闲时间有限,勉强就找了这么几个;bug;,不过足够对使用大网站造成威胁了,当然我写此文章的目的不是教大家去黑站,而是希望我们的网络更安全一些……sp;conn.execute(sql)
Response.write("")
Response.end
end;if
注意;SQL;语句“"Update;article_admin;set;username;=;’"&;username;&"’,[password];=;’"&;password;&"’;where;id;=;";&;Unid”,Unid、username、password都是通过表单提交的,而且都没有验证,所以我们只要知道后台用户的;id;,然后更改密码修改隐藏域中的unid,就可以修改他的密码了 。
4、;;;后台帐户删除网站任意文件漏洞
在后台有个“上传文件管理”功能,可以删除上传的文件 。观察其;URL;,形式是:http://localhost/QcNews/admin_picmang.asp?Action=Del&FileName=2003121162475.jpg
FileName就是要删除的文件名了,文件在;Upfiles;文件夹 。试试构造;FileName跳出这个目录 。作者也考虑到了这个问题,所以有这样一段判断代码:
if;left(trim(arrFileName(i)),3)〈〉"../";and;left(trim(arrFileName(i)),1)〈〉"/";then
虽然过滤了跳出目录的一种情况,不过我们可以构造类似http://localhost/QcNews/admin_picmang.asp?Action=Del&FileName=lake2/../../index.asp的;URL;来删除任意文件 。
5、;;;后台普通帐户直接获取管理员权限漏洞
这套系统的后台有3种不同权限的帐户:管理员、录入员、审核员 。管理员有所有的权限,录入员只能发帖子,审核员审核帖子 。但是作者最大的疏忽却是:录入员和审核员具有管理员一样的权限 。
虽然普通帐户看不到其他管理功能的链接,但是我们直接在浏览器里面输入实现相应功能的文件地址就能像管理员一样管理了 。比如说备份数据库,我以录入员登陆系统,然后直接在浏览器里输入;http://localhost/QcNews/admin_backupdata.asp;,呵呵,怎么样,可以备份数据库了哦 。其他的功能亦然 。
6、;;;后台数据库备份漏洞
嗯,
