1. Trang chủ
  2. » Công Nghệ Thông Tin

Hack Qshop potx

1 250 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 1
Dung lượng 26,5 KB

Nội dung

Hack Q-shop trang này đã được đọc lần Q-Shop Arbitrary File Upload Vulnerability Secunia Advisory: SA9250 Release Date: 2003-07-12 Critical: Highly critical Impact: System access Where: From remote Software: Q-Shop 2.x Description: A vulnerability has been identified in Q-Shop allowing malicious users to upload and execute arbitrary code. The vulnerability is caused due to an access control error. Anyone can access "upload.htm"/"outputFile.asp" in the "admin/" directory, which can be exploited to upload arbitrary files to the system. These can then be executed with the privileges of Q-Shop. The vulnerability has been reported in version 2.5. However, prior versions may also be affected. Solution: Restrict access the the "admin/" folder. Reported by / credits: This vulnerability was reported by two parties around the same time: Bosen (1ndonesian Security Team) G00db0y (Zone-h) Đầu tiên , tôi vào trang chủ của loại Q-Shop này : http://quadcomm.com/qshop/ và view demo của loại shop này (mục đích là xem thử cấu trúc của shop, đặc thù của shop, để có thể dễ dàng search ra hơn ) , nhận thấy phần footer của site này có dòng chữ : Shopping Engine © Copyright QuadComm, Inc. 2000- 2002 . Vì vậy , tôi vào google và search với từ khóa : Shopping Engine © Copyright QuadComm, Inc và tìm được một số sites sử đụng loại shopping cart này . Tiếp theo là mở từng site 1 , thử xem sites nào chưa fix và upload con ntdaddy (tôi chỉ có con này thôi :"> ) . http://www.geckermotorsports.com/shop/prodspics/ntdaddy.asp http://www.mccalltech.net/prodspics/ntdaddy.asp http://www.x-tremeracing.com.au/shop/prodspics/ntdaddy.asp Sau đó là view files trên server kiếm user và pass admin , login vào shop và lấy cc . Đây là bước có lẽ tốn thời gian nhất nếu mình không hiểu rõ cấu trúc của Q-Shop . Cũng nói luôn , Q-Shop lưu user và pass admin ở file admin/security.asp (đây cũng là file admin login của Q-shop ). . Hack Q-shop trang này đã được đọc lần Q-Shop Arbitrary File Upload Vulnerability Secunia Advisory:. Team) G00db0y (Zone-h) Đầu tiên , tôi vào trang chủ của loại Q-Shop này : http://quadcomm.com /qshop/ và view demo của loại shop này (mục đích là xem thử cấu trúc của shop, đặc thù của shop,

Ngày đăng: 09/07/2014, 11:20

Xem thêm

TỪ KHÓA LIÊN QUAN

w