Hack Q-shop.

Thông tin tài liệu

Hack Q-shop.

Hack Q-shoptrang này đã được đọc lần Q-Shop Arbitrary File Upload Vulnerability Secunia Advisory: SA9250 Release Date: 2003-07-12 Critical: Highly critical Impact: System accessWhere: From remoteSoftware: Q-Shop 2.xDescription:A vulnerability has been identified in Q-Shop allowing malicious users to upload and execute arbitrary code.The vulnerability is caused due to an access control error. Anyone can access "upload.htm"/"outputFile.asp" in the "admin/" directory, which can be exploited to upload arbitrary files to the system. These can then be executed with the privileges of Q-Shop.The vulnerability has been reported in version 2.5. However, prior versions may also be affected. Solution:Restrict access the the "admin/" folder. Reported by / credits:This vulnerability was reported by two parties around the same time:Bosen (1ndonesian Security Team)G00db0y (Zone-h) Đầu tiên , tôi vào trang chủ của loại Q-Shop này : http://quadcomm.com/qshop/ và view demo của loại shop này (mục đích là xem thử cấu trúc của shop, đặc thù của shop, để có thể dễ dàng search ra hơn ) , nhận thấy phần footer của site này có dòng chữ : Shopping Engine © Copyright QuadComm, Inc. 2000-2002 . Vì vậy , tôi vào google và search với từ khóa : Shopping Engine © Copyright QuadComm, Inc và tìm được một số sites sử đụng loại shopping cart này .Tiếp theo là mở từng site 1 , thử xem sites nào chưa fix và upload con ntdaddy (tôi chỉ có con này thôi :"> ) .http://www.geckermotorsports.com/shop/prodspics/ntdaddy.asphttp://www.mccalltech.net/prodspics/ntdaddy.asphttp://www.x-tremeracing.com.au/shop/prodspics/ntdaddy.aspSau đó là view files trên server kiếm user và pass admin , login vào shop và lấy cc . Đây là bước có lẽ tốn thời gian nhất nếu mình không hiểu rõ cấu trúc của Q-Shop . Cũng nói luôn , Q-Shop lưu user và pass admin ở file admin/security.asp (đây cũng là file admin login của Q-shop ). . Hack Q-shoptrang này đã được đọc lần Q-Shop Arbitrary File Upload Vulnerability Secunia Advisory:. hiểu rõ cấu trúc của Q-Shop . Cũng nói luôn , Q-Shop lưu user và pass admin ở file admin/security.asp (đây cũng là file admin login của Q-shop ).

Ngày đăng: 02/11/2012, 14:18

Xem thêm: Hack Q-shop.