单引号导致的网站崩溃 L-blog入侵实录

在“性别”一栏的文本框中输入：“0,mem_Status="SupAdmin"”（不包括引号），点击“确定编辑”即可完成本地提交。我们重新登陆L-blog，可以发现，在“用户中心”中多出了两个选项“发表日志”和“系统管理”（如图1），这两个选项是只有L-blog的管理员才能够看到的，因此证明我们已经成功将自己的账号提升为管理员了。

图1 成功提升帐户为管理员

　　三、绕过验证，利用工具提交数据

　　在上文中我们已经说到L-blog的两个版本利用方法不同，那不同在哪呢？由于L-Blog V1.10 AIO更新了验证机制，使原有的本地提交页面这种方法已经不起作用。然而新版本只是更新了验证机制，而并没有从根本上修补漏洞，因此我们可以利用工具将数据提交上去，从而绕过新版本的验证机制，其效果和构造本地提交页面是一样的。

　　1.NC、WSockExpert，双剑合壁

　　NC和WSockExpert是本地提交入侵中经常用到的工具，WSockExpert用于数据包的抓取，NC用于数据包的提交。下面我们就来看看如何利用这两款工具绕过L-blog的本地提交验证。同上文中步骤，注册完成后来到“编辑个人资料”页面，我们运行WSockExpert，点击工具栏处的“打开”按钮，找到IE的进程，双击，选中当前L-blog的进程信息，点击“OPEN”进入抓包状态。我们切换回L-blog，在“编辑个人资料”页面中填入旧密码，点击“确定编辑”。这时我们会发现
WSockExpert中已经抓取到了许多数据包，其中可以找到一个以“POST”开头的数据包，这正是我们所需要的。选中以“PSOT”开头的数据包，在下方会出现其具体内容（如图2）。将所有的内容复制下来，保存为test.txt，最内容的最下方可以找到mem_Sex这一个参数，其默认的参数值为“0”，我们需要将它修改为“0,mem_Status="SupAdmin"”，由于我们修改后使整个数据包增加了22个字节，所以我们还需要对数据包中Content-Length参数进行相应的修改，完成后保存。

图2 抓取“POST”数据包 

　　提示：在“编辑个人资料”页面中只需填入旧密码，其他选项一概不要填写，否则将使测试失败。