Hack Qshop

Chia sẻ: Ai Dieu | Ngày: | Loại File: DOC | Số trang:2

Thêm vào BST

Báo xấu

59
lượt xem 7
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

The vulnerability is caused due to an access control error. Anyone can access "upload.htm"/"outputFile.asp" in the "admin/" directory, which can be exploited to upload arbitrary files to the system. These can then be executed with the privileges of QShop.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hack Qshop

Hack Qshop trang này đã được đọc lần QShop Arbitrary File Upload Vulnerability Secunia Advisory: SA9250 Release Date: 20030712 Critical: Highly critical Impact: System access Where: From remote Software: QShop 2.x Description: A vulnerability has been identified in QShop allowing malicious users to upload and execute arbitrary code. The vulnerability is caused due to an access control error. Anyone can access "upload.htm"/"outputFile.asp" in the "admin/" directory, which can be exploited to upload arbitrary files to the system. These can then be executed with the privileges of QShop. The vulnerability has been reported in version 2.5. However, prior versions may also be affected. Solution: Restrict access the the "admin/" folder. Reported by / credits: This vulnerability was reported by two parties around the same time: Bosen (1ndonesian Security Team) G00db0y (Zoneh) Đầu tiên , tôi vào trang chủ của loại QShop này : http://quadcomm.com/qshop/ và view demo của loại shop này (mục đích là xem thử cấu trúc của shop, đặc thù của shop, để có thể dễ dàng search ra hơn ) , nhận thấy phần footer của site này có dòng chữ : Shopping Engine © Copyright QuadComm, Inc. 20002002 . Vì vậy , tôi vào google và search với từ khóa : Shopping Engine © Copyright QuadComm, Inc và tìm được một số sites sử đụng loại shopping cart này . Tiếp theo là mở từng site 1 , thử xem sites nào chưa fix và upload con ntdaddy (tôi chỉ có con này thôi :"> ) . http://www.geckermotorsports.com/shop/prodspics/ntdaddy.asp http://www.mccalltech.net/prodspics/ntdaddy.asp http://www.xtremeracing.com.au/shop/prodspics/ntdaddy.asp Sau đó là view files trên server kiếm user và pass admin , login vào shop và lấy .... cc . Đây là bước có lẽ tốn thời gian nhất nếu mình không hiểu rõ cấu trúc của QShop . Cũng nói luôn , QShop lưu user và pass admin ở file admin/security.asp (đây cũng là file admin login của Qshop ).

CÓ THỂ BẠN MUỐN DOWNLOAD