安全黑客
当前位置:安全黑客下载中心动画教程网站安全

最土团购0day利用及修复办法[网站安全]

运行环境:Win9X/Win2000/WinXP/Win2003/
软件语言:简体中文
软件类型:动画教程 - 网站安全
授权方式:免费
推荐星级:
官方主页:www.110hack.com
图片预览: 没有预览图片     【一键转帖到论坛】
插件情况:
解压密码:www.110hack.com
软件大小:22.0 MB
更新时间:2012-04-27 09:27:00
下载统计:载入数据...
  • 好的评价 如果您觉得此软件好,就请您
      0%(0)
  • 差的评价 如果您觉得此软件差,就请您
      0%(0)

赞助商链接

最土团购0day利用及修复办法[网站安全] 简介



  本文“最土团购0day利用及修复办法[网站安全]”是由安全黑客为您精心收集,来源于网络转载,软件版权归软件作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
  

大家好!!!!
                                      最土团购0day利用办法
预备的工具:
1:Opera 游览器大概谷歌游览器
2:菜刀链接
本人应红黑特邀 做了个测试教程 所以请各位大牛多多包含- -  


近期最土团购程序3.0_20111207爆出一个高危漏洞,通过该漏洞操纵办法,入侵者可以在10秒内获得最土团购网站的大量用户信息和订单信息等.

      因为最土是团购类程序,数据库中保存有效户的邮箱和电话,乃至有效户的住址等,对网站用户来说,这些隐私信息一旦被别人获得,会带来很多的麻烦.基本上国内的团购网站的代码都是用的是最土团购的源码开辟的,所以本次0day影响范围分外大

      360安全工程师解析认为,“这是一次对比典型、也是非常经典的数组key变量污染漏洞.‘最土团购’建站程序的代码中,由于函数的过滤不严峻,招致了黑客可以通过提反目意代码,掌握程序流程,来绕过登录时的判断,直接进入网站后台.下面附上具体的操纵办法:

百度关键字:inurl:subscribe.php?ename
目标站:http://tuan.kingzo.com/

      1.用opera浏览器翻开网站的默许后台地址:manage/login.php 普通都是这个默许后台地址,暂时没有见到哪个是改了的

      2.右键查看源代码.找到以下代码:

<div>
<label for="manage-login">登录名</label>
<input type="text" size="30" name="username" id="manage-username" datatype="require" require="true" />
</div>

      3.将此中的name="username" 改正成:name="username[=0x7c or manager=1#]",点击浏览器上的利用保存.

      4.直接在账号s,密码s举行登陆后台.

好吧 我们进来了0 0   然后基本到这一步 我们就成功进入了这个网站的后台 那么很多人都问 进了后台拿不到shell啊
其实拿shell的办法有很多 我就不一一举出来了  本日我就介绍一种办法来拿shell吧 

大家都知道菜刀 一句话吧  假如不知道 可以去百度自己查  具体的利用办法 自己百度吧 呵呵!


最土团购的后台拿shell 的办法就是改模版咯

点击设置 然后点击 跪拜 然后挑选 about_job.html这个模版页 然后 插入一句话 然后点击保存 就KO了

看到这 大家应当懂得了吧   0 0  呵呵 
      因为最土团购程序的后台可以直接举行备份数据库到本地的操作,所以一旦进入后台,假如服务器未对备份文件的下载权限举行设置,是可以直接备份数据库到本地的,因此对用户的信息安全威胁对比大.

针对以上漏洞的修复办法:

      1.进级最土团购程序为最新版的ZuituGo_CV2.0_20111231;

      2.假如不想下载宏大的源码进级包,还可以参考以下的修复筹划:
       在Include/classes/ ZUser.class.php 中找到 "static public function GetLogin($email, $unpass, $en=true) { "即登录考证函数定义的地方; 在其下面加入以下代码"if(is_array($email)) return array();"漏洞便可修复.

      3.倡议针对后台数据库备份到本地,针对备份文件举行禁止下载的权限设置.

      4.可认为后台登陆增添考证码项.

      部份修复筹划参考网上的资料,具体的可行性自行研究.

88  各位安全界的神人!!!! 


   以上是“最土团购0day利用及修复办法[网站安全]”的内容,如果你对以上该软件感兴趣,你可以看看安全黑客为您推荐以下软件:
  • 最土团购0day利用及修复办法
  • -----------------------------------------------------------------------------------------------------

    安全黑客提示您:部分软件可能被杀软误报也属于正常,如果不放心可以不下载

    所有教程和软件都是网上转载,请在下载后24小时内删除!

    部分教程和软件中含有宣传广告,如果交易请谨慎!

    本文地址: 与您的QQ/BBS好友分享!

    赞助商链接

    下载地址

      最土团购0day利用及修复办法下载
    在下列搜索引擎中搜索最土团购0day利用及修复办法的相关信息:
    百度搜索谷歌搜索搜狗搜索狗狗搜索搜搜搜索雅虎搜索有道搜索bing搜索

    软件评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .