2005-12-12 22:42:48 by: h4x0r
MYBBS论坛后台验证漏洞
没什么技术
看了以后觉得超低能,居然有 'or'='or' 漏洞
我没有深度研究,简单的看没有什么利用价值,无非登陆下管理界面
不过可以加几个友情连接
简单测试方法
打开 www.baidu.com ,搜索 mybbs .找到MYBBS论坛,把头文件名改为 login.asp
如 http://www.xxx.com/bbs/login.asp
如果能打开 ,将显示 论坛管理登陆界面 ,这时输入 帐号跟密码,
user: 'or'='or'
passwd: 'or'='or'
帐号密码全为 'or'='or'
登陆成功..........
注意: 因为很多论坛都被挂过马,所以测试时请务必打开病毒防火墙
by: h4x0r
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=360
看了以后觉得超低能,居然有 'or'='or' 漏洞
我没有深度研究,简单的看没有什么利用价值,无非登陆下管理界面
不过可以加几个友情连接
简单测试方法
打开 www.baidu.com ,搜索 mybbs .找到MYBBS论坛,把头文件名改为 login.asp
如 http://www.xxx.com/bbs/login.asp
如果能打开 ,将显示 论坛管理登陆界面 ,这时输入 帐号跟密码,
user: 'or'='or'
passwd: 'or'='or'
帐号密码全为 'or'='or'
登陆成功..........
注意: 因为很多论坛都被挂过马,所以测试时请务必打开病毒防火墙
by: h4x0r
[Last Modified By h4x0r, at 2005-12-12 22:48:33]
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=360
There is no comment on this article.
