ComeUrl变量获取的是进入此页面的上个页面的地址,先判断它是否为空,而cUrl,变量则是获取当前网站的网址,它先判断截取的最后一位是否有:,有的话就加上请求的端口,否则是获取请求文件的路径,然后再判断两变量从左边获取的字符是否相等,最后用session来验证是否为管理员登陆,从以上分析来看,在后台禁止了外部提交,而在前台又没有上传的功能,因本人的水平有限,没办法突破外部提交的限制,看来跨站在这系统中有点鸡肋了,要利用也只能挂挂马,偷取管理员的cookie之类的了

但对有一些系统来说,如果前台有上传的功能,在后台限制外部提交上有不足的话,我们还是有办法来绕过外部提交的方法,再利用跨站来达到和管理员在后台实际操作的功能的目的,后台管理员一般有”添加管理员,数据库备份和恢复”等功能,

首先要用构造的表单,通过跨站让如何让管理员在后台自动提交,这儿就要用到javascript的代码了,假设我们构造的表单名称为form,则通用的代码如下:

代码片段四： <body onload=GetAdmin()> <script language=”javascript”> Function GetAdmin(){ Document.forms[0].submit(); } </script>                       //这类是在自己构造代码开头加入的 <script language=”javascript”> this.document.forms[0].Submit() </script>                        //代码尾部加入的 ----------------------------------------------------------------------------------------------------------

这二段代码的意思都是在网页载入时,自动执行forms[0]对象的Submit()的方法,即提交表单。

上次我利用”一手夹烟”关于网域高科的” 网络交友征婚婚介网站管理系统”的分析漏洞,顺利拿到了官方网站的WEBSHELL,为此,我再次来到网域高科,看看还有什么系统可以利用跨站的攻击,最终选定了” 仿阿里巴巴商贸通B2B行业商务门户网站管理系统(access版)”下面我以这系统为例和大家说说具体的跨站利用过程和方法

还是先来看看用户可以提交参数的地方吧,在首页有个意见反馈的功能,在Include/ leaveword_save.asp文件中有如下代码:

代码片段五： <% sortid=request.form("sortid") tableid=request.form("tableid") ypid=request.form("ypid") book_user=request.form("book_user") book_contact=request.form("book_contact") book_content=request.form("book_content") if sortid="" or tableid="" or ypid="" then response.write "<script>alert('未知错误');window.close();</Script>" response.End() end if if book_user="" or len(book_user)<2 or len(book_user)>16 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 2-16 位字符的用户名！');window.close();</Script>" response.End() end if if book_contact="" or len(book_contact)<5 or len(book_contact)>40 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 5-40 位字符的联系方式！');window.close();</Script>" response.End() end if if book_content="" or len(book_content)<5 or len(book_content)>100 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 10-100 位字符的反馈内容！');window.close();</Script>" response.End() end if   set rs=Server.CreateObject("Adodb.Recordset") sql="select * from SMT_leaveword" rs.open sql,conn,1,3 rs.addnew rs("SMT_book_user")=book_user rs("SMT_book_contact")=book_contact rs("SMT_book_content")=book_content rs("SMT_book_sort")=sortid rs("SMT_book_table")=tableid rs("SMT_book_ypid")=ypid rs.update rs.close set rs=nothing   response.write "<script>alert('反馈成功，谢谢您的参与！');window.close();</Script>" response.End() %>

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页