功能测试
                                                           feedsky 抓虾 google reader 鲜果 QQ邮箱 my yahoo 有道
首页 > 入侵辅助 > 正文

sablog1.6的CSRF漏洞POC

发布-白银时代 | 查看- | 发表时间-2009-7-21

sablog1.6的CSRF漏洞POC。

这个在我的blog中测试成功,官方下载的最新版本测试成功,但是在小泽的blog失败的。

原因是他自己修改了源程序,判断了referer。

POC:

SHELL代码
  1. 评论时,网站地址输入:http://www.inbreak.net/blog   
  2.   
  3. 然后内容是:你好,可以给我做个链接么?   

管理员后台登陆后,如果点了你的主页,就会在他的后台添加一个账户。

hackedbykxlzx

然后你可以利用这个账户登录,修改模版,可以编辑PHP文件,搞个shell上去。

管理员点了主页,看到一个页面,说地址错误,跳转中。

2个重要文件,第一个是
http://www.inbreak.net/blog/index.php
很具有迷惑性吧?管理员首先看到这个。
这里有个iframe,指向第二个


http://www.inbreak.net/kxlzxtest/testxss/sablog.php

这里提交添加用户。

当管理员访问的时候,就偷偷添加了用户。

feedsky 抓虾 google reader 鲜果 QQ邮箱 my yahoo 有道
或许你还对下面的文章感兴趣

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

最新文章
最近评论
访客留言
管理     | 主题由 SéɑńしΟΟ设计完成。 GHD|wedding dresses
本程序由ΖβしΟɡ搭建。