测试版本:
LB5000II v0508 - www.s8s8.net
LB5000II v0429 - badboyclub
漏洞描述:
这是一个认证疏忽问题.估计是花花赶时间,忘了对需要加密的版块进行测试.呵,那就让我来测试吧.
加密版块形式:
请输入您的用户名 您没有注册?
请输入您的密码 忘记密码 ?
请输入论坛访问密码 如果你已经授权允许进入,
则不必输入密码. 用户名+用户密码+授权密码.
OK,其它的废话少说。首先就是1'or'1'='1.
进不去.呵.
中间过程省掉....
嗯,只使用用户名看看..或许两个密码检验冲突.导致
用户直接进入.
OK,s8s8-凉白开.恩....呵,进入了.换个名字看看.魔亦神,恩....无效^_^,看来是两个密码认证跟用户名权限认证起了一定的冲突
嘻嘻...
特别技巧:
使用管理员假用户时(未加密码的用户),如果这时真用户也在线时.会导致真用户无权限·作此版功能
呵,本来文章中间还有一段,但因无法证实,所以省掉。想看详细点文章的,跟我联系.
redhonga@163.net
redhonga.126.com
加密论坛.- 魔界黑区
欢迎技术人员来交流.新手,菜鸟,*客(包括黑客,红客)。不用联系了。
我对技术人员的定义: 拥有自己原创(包括工具,技术),跳出称号这一层次.
OICQ 8949514
适于打印的主题视图