[讨论]关于Dvbbs8.1 0DAY(通杀access和mssql版本) mssql, access, 讨论

wlfjck

[讨论]关于Dvbbs8.1 0DAY(通杀access和mssql版本)
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：xpzhou

http://www.3800hk.com/donghua/c/21233.html

动画里面关于注入点的构建,以及工具的应用,看不明白,望论坛里高人指点。
先行谢过了。
帖子43 精华4 积分154 阅读权限100 在线时间47 小时 注册时间2005-11-29 最后登录2008-7-8 查看详细资料TOP 赚更多的钱

silenceshell

晶莹剔透§烈日灼然

BG7LHT

我把教程说明给大家插上来
复制内容到剪贴板
代码:
多抽出一分钟时间学习.让你的生命更加精彩.
动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏.
国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
-------------------------------------------------------------------------
  Author:Tr4c3[at]126[dot]CoM
  http://www.nspcn.org
  http://www.tr4c3.com
  谨以此文献给在我老婆不在身边的时候陪我YY,看AV的n37p47ch,King,慕容大雨和BK瞬间群的所有Y棍。
  
  这几天真是无聊的很啊，晚上实在不知道要做什么了，就下了套dvbbs 8.1，然后翻着玩，一不小心翻到了一个注
入漏洞。看来上帝还是很可怜我的。废话不说了。
看代码UserPay.asp行12-64
If Request("raction")="alipay_return" Then
  AliPay_Return()
  Dvbbs.Footer()
  Response.End
ElseIf Request("action")="alipay_return" Then
  AliPay_Return()
  Dvbbs.Footer()
  Response.End
'ElseIf Request("action")="Re_inmoney" Then
'  Re_inmoney()
'  Dvbbs.Footer()
'  Response.End
End If
  无论用户提交的raction为alipay_return还是action为alipay_return都调用了AliPay_Return()过程。AliPay_Return()的代码原型在行329-351，代码如下：
Sub AliPay_Return()
  If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
    Exit sub
  Else
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode=&#39;"&Order_No&"&#39;")
    If not(Rs.Eof And Rs.Bof) Then
      AliPay_Return_Old()
      Exit sub
    End if
    Response.Clear
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode=&#39;"&Order_No&"&#39;")
    If Rs.Eof And Rs.Bof Then
      Response.Write "N"
    Else
      Response.Write "Y"
      Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
    End If
    Response.End
  End If
End Sub

  如果Dvbbs.Forum_ChanSetting(5) <> "0" 就执行下面的sql语句，我们来看看数据库里默认的Forum_ChanSetting吧。
1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
Forum_ChanSetting(5)缺省为0，好了你接着看就会笑了
Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode=&#39;"&Order_No&"&#39;")
直接把获取的Order_No放到sql里面去了。
回顾一下DVbbs8.0的Userpay.asp同样一个函数看代码
Sub AliPay_Return()
  If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
  Else
    Response.Clear
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No = Dvbbs.CheckStr(Request("order_no"))
    Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = &#39;"&Order_No&"&#39;")
    If Rs.Eof And Rs.Bof Then
      Response.Write "N"
可以看出Order_No用CheckStr处理了，不存在sql注入漏洞，为什么到了新版本反而就直接放行了呢？莫非是笔误？
  如果你和我一样懒，并不想精心构造语句去搞破坏，只是试图去说明这个地方不安全，用下面的链接验证下看看
吧(需要登录)
http://www.tr4c3.com/UserPay.asp ... &out_trade_no=1&#39;
本地测试返回图示
dvbbs.jpg
dvbbs2.jpg
  如果想再深入点，看看动画吧，懒得打字了。:-)
  由于本人没下载到dvbb8.1的sql版本，也懒得去网上找，所以无法判断其版本也存在该漏洞，有条件的朋友看看反馈
下。

经过群里的Y棍樱木花盗测试官方确认mssql版本也受此漏洞影响
后面工具的应用就不介绍了，得到注入点后，通过啊D和NBSI猜解出后台的密码
关键是漏洞的产生show more..

帖子35 精华0 积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15 查看详细资料TOP 软件项目外包

zou
晶莹剔透§烈日灼然

yuyu

很简单呀 UserPay.asp?raction=alipay_return&out_trade_no=
帖子5 精华0 积分20 阅读权限40 在线时间125 小时 注册时间2007-3-10 最后登录2008-7-9 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

tj646
晶莹剔透§烈日灼然