Author:Tr4c3[at]126[dot]CoM
http://www.nspcn.org
http://www.tr4c3.com
这几天真是无聊的很啊,晚上实在不知道要做什么了,就下了套dvbbs 8.1,然后翻着玩,一不小心翻到了一个注
入漏洞。看来上帝还是很可怜我的。废话不说了。
看代码UserPay.asp行12-64
If Request("raction")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
ElseIf Request("action")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
'ElseIf Request("action")="Re_inmoney" Then
' Re_inmoney()
' Dvbbs.Footer()
' Response.End
End If
无论用户提交的raction为alipay_return还是action为alipay_return都调用了AliPay_Return()过程。AliPay_Return()的代码原型在行329-351,代码如下:
Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Exit sub
Else
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
If not(Rs.Eof And Rs.Bof) Then
AliPay_Return_Old()
Exit sub
End if
Response.Clear
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
Else
Response.Write "Y"
Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
End If
Response.End
End If
End Sub
如果Dvbbs.Forum_ChanSetting(5) <> "0" 就执行下面的sql语句,我们来看看数据库里默认的Forum_ChanSetting吧。
1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
Forum_ChanSetting(5)缺省为0,好了你接着看就会笑了
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
直接把获取的Order_No放到sql里面去了。
回顾一下DVbbs8.0的Userpay.asp同样一个函数看代码
Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Else
Response.Clear
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No = Dvbbs.CheckStr(Request("order_no"))
Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
可以看出Order_No用CheckStr处理了,不存在sql注入漏洞,为什么到了新版本反而就直接放行了呢?莫非是笔误?
如果你和我一样懒,并不想精心构造语句去搞破坏,只是试图去说明这个地方不安全,用下面的链接验证下看看
吧(需要登录)
http://www.tr4c3.com/UserPay.asp?raction=alipay_return&out_trade_no=1'
本地测试返回图示(夜火PS:因为截图都太大了,做了点处理,点击图片打开新页面,再点击图片查看完整原图)
如果想再深入点,看看动画吧,懒得打字了。:-)
由于本人没下载到dvbb8.1的sql版本,也懒得去网上找,所以无法判断其版本也存在该漏洞,有条件的朋友看看反馈
下。
动画下载:
http://www.tr4c3.com/upload/200801080917104654.rar
经过群里的淫棍樱木花盗测试官方确认mssql版本也受此漏洞影响
2008-1-8 23:51:45
Dvbbs8.1 0DAY(通杀access和mssql版本)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
如原创文章转载,请注明: 转自:夜火&轨迹's Blog [ http://www.15897.com/ ]
本文链接地址: http://www.15897.com/blog/post/dvbbs-8.1-0day-userpay-Access-MSSQL.html
Tags: 0day 漏洞信息 注入
发布:xloong |
分类:漏洞信息 |
评论:0 |
引用:0|
RSS订阅
|浏览:
收藏到网摘
- 相关文章:
XSS Worm的防御 (2007-12-30 23:57:4)
最新校内xss漏洞加利用worm (2007-12-23 23:12:26)
暴风影音3.7.11.13 爆远程拒绝服务漏洞 (2007-11-29 13:14:44)
MS07-017 windows 2k and windows xp sp2 真正修改能用版本 (2007-11-27 19:57:49)
全手工SQL注入式脚本整理 (2007-11-27 19:14:58)
迅雷5 0day 利用工具 官方最新版照杀 (2007-11-26 19:24:26)
Discuz! 6.0.0 0Day漏洞 (2007-11-24 19:16:47)
PPlive 0Day 网马曝光! (2007-11-13 18:15:23)
Google开放平台OpenSocial出师不利 风光45分钟就爆漏洞 (2007-11-6 19:10:49)
Live Hotmail最新微软漏洞申请@msn.cn邮箱帐号 (2007-10-7 21:51:27)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
订阅本站
Search
最近发表
最新评论及回复
最近留言
图标汇集
您可能需要这些?
