关于这个漏洞网上早就公布了,很多提权工作也都提供了下载。
可是最近还是有很多朋友问我怎么操作。为了避免麻烦。我把我知道的都写出来
以后大家不要在QQ里问我了。
先说一下关于dvbbs7.0sp2的前台提权方法。
工具: http://61.232.173.243:83/soft/xiumu/DVBB70SSP2.exe
1、先打开需要测试的论坛,版本号必须是dvbbs 7.0sp2
2、注册一个用户
3、打开测试软件,主机地址填论坛的url,注意,这里可以填写域名的ip,大家可以用ping命令得到。也可以直接填www.xxx.com此类的顶级域名地址,不要在地址后加/bbs这样的文件夹名,主要用来解析主机的ip
4、论坛地址填写论坛的绝对地址,有些论坛屏蔽了真实地址,不管访问什么页面都是主域名,可以在页页空白处点鼠标右键,属性,得到真实地址。
5、抓取cookie,如果浏览器设置正确,先登陆,然后用软件可以直接抓取cookie,如果抓不到的,请重新设一下浏览器cookie选项,或用抓包工具直接抓取。
6、提权。目前很多论坛已经打了补丁或做了相应的安全防范措施,有时软件也会提示提权成功,但实际是没有成功的,有时会提示失败,但实示是成功的,具体还需要大家在操作中自己实验了,提权限需要退出,重新登陆才能看到结果。
得 到前台权限的危害也是很大的,可以清空前台的所有用户发帖数据,同时可以修改任意版面的说明等其它论坛设置,而且有些部份支持html代码,这样就可以挂 马,跨站得到管理员cookie等。所以请各位使用dvbbs7.0sp2的站长,尽快到官方网站下载补丁,以免造成不必要的损失。
可是最近还是有很多朋友问我怎么操作。为了避免麻烦。我把我知道的都写出来
以后大家不要在QQ里问我了。
先说一下关于dvbbs7.0sp2的前台提权方法。
工具: http://61.232.173.243:83/soft/xiumu/DVBB70SSP2.exe
1、先打开需要测试的论坛,版本号必须是dvbbs 7.0sp2
2、注册一个用户
3、打开测试软件,主机地址填论坛的url,注意,这里可以填写域名的ip,大家可以用ping命令得到。也可以直接填www.xxx.com此类的顶级域名地址,不要在地址后加/bbs这样的文件夹名,主要用来解析主机的ip
4、论坛地址填写论坛的绝对地址,有些论坛屏蔽了真实地址,不管访问什么页面都是主域名,可以在页页空白处点鼠标右键,属性,得到真实地址。
5、抓取cookie,如果浏览器设置正确,先登陆,然后用软件可以直接抓取cookie,如果抓不到的,请重新设一下浏览器cookie选项,或用抓包工具直接抓取。
6、提权。目前很多论坛已经打了补丁或做了相应的安全防范措施,有时软件也会提示提权成功,但实际是没有成功的,有时会提示失败,但实示是成功的,具体还需要大家在操作中自己实验了,提权限需要退出,重新登陆才能看到结果。
得 到前台权限的危害也是很大的,可以清空前台的所有用户发帖数据,同时可以修改任意版面的说明等其它论坛设置,而且有些部份支持html代码,这样就可以挂 马,跨站得到管理员cookie等。所以请各位使用dvbbs7.0sp2的站长,尽快到官方网站下载补丁,以免造成不必要的损失。