发布日期：2000-01-31
更新日期：2000-01-31

受影响系统：

Cobalt RaQ2

描述：

---

    RaQ2用户管理CGI（siteUserMod.cgi）中的安全漏洞允许远程攻击者无需管理员权限即可修改任何用户（包括管理员）的口令。

细节：

    首先需要对服务器中某一帐号有Site Administrator权限。当进入该站点的"Site Management"页面时，选择"User Management"选项。将会列出该帐号可管理的用户名列表。
    绿色铅笔形状的编辑图标会将用户名作为唯一参数传递给JavaScript函数modify()。我们知道，要在浏览器地址栏调用一个函数，该HTML页而必须位于页面框架的最上层。因此只需在新框架中打开userList.html文件即可。将"javascript: modify( 'admin' );"在地址栏中输入，modify()函数将返回一个URL。

返回的URL格式如下：

http://yoursite:81/cgi-bin/.cobalt/siteUserMod/siteUserMod.cgi?username=admin&group=site151&949015199230

    这个URL装入用于"admin"帐号的标准"Modify User"（修改用户）页面。然而，当你单击"Confirm Modify"按钮试图修改资料时，会返回一个JavaScript错误，因为该函数的调用与"Site Management"（站点管理）页面的框架有关。要突破这个限制，只需下载这两个HTML文件：一个是index.html；另一个是right.html。将index.html文件中的相对/绝对URL作适当修改，同时修改right.html使其可以装入上面提及的URL：

http://yoursite:81/cgi-bin/.cobalt/siteUserMod/siteUserMod.cgi?username=admin&group=site151&949015199230

这样你就能成功修改"admin"用户的口令了。同时也就获得了管理员权限。



建议：

---

    暂无。



浏览次数：6794
严重程度：0（网友投票）