服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务
设为首页收藏本站
开启辅助访问 切换到宽版

运维之家

 找回密码
 注册
搜索
运维之家»技术论坛 服务器网管区 windows技术 Dvbbs8.1最新漏洞通杀Access和mssql版(注入文件Userpay. ...
返回列表 发新帖
查看: 5032|回复: 1

Dvbbs8.1最新漏洞通杀Access和mssql版(注入文件Userpay.asp本)[

[复制链接]
dirtysea 发表于 2008-1-9 19:12:53 | 显示全部楼层 |阅读模式
看代码UserPay.asp行12-64

If Request("raction")="alipay_return" Then
  AliPay_Return()
  Dvbbs.Footer()
  Response.End
ElseIf Request("action")="alipay_return" Then
  AliPay_Return()
  Dvbbs.Footer()
  Response.End
'ElseIf Request("action")="Re_inmoney" Then
'  Re_inmoney()
'  Dvbbs.Footer()
'  Response.End
End If

无论用户提交的raction为alipay_return还是action为alipay_return都调用了AliPay_Return()过程。AliPay_Return()的代码原型在行329-351,代码如下:

Sub AliPay_Return()
  If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
    Exit sub
  Else
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
    If not(Rs.Eof And Rs.Bof) Then
      AliPay_Return_Old()
      Exit sub
    End if
    Response.Clear
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
    If Rs.Eof And Rs.Bof Then
      Response.Write "N"
    Else
      Response.Write "Y"
      Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
    End If
    Response.End
  End If
End Sub


如果Dvbbs.Forum_ChanSetting(5) <> "0" 就执行下面的sql语句,我们来看看数据库里默认的Forum_ChanSetting吧。

1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

Forum_ChanSetting(5)缺省为0,好了你接着看就会笑了

Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")

直接把获取的Order_No放到sql里面去了。
回顾一下DVbbs8.0的Userpay.asp同样一个函数看代码

Sub AliPay_Return()
  If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
  Else
    Response.Clear
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No = Dvbbs.CheckStr(Request("order_no"))
    Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")
    If Rs.Eof And Rs.Bof Then
      Response.Write "N"

可以看出Order_No用CheckStr处理了,不存在sql注入漏洞,为什么到了新版本反而就直接放行了呢?莫非是笔误?
如果你和我一样懒,并不想精心构造语句去搞破坏,只是试图去说明这个地方不安全,用下面的链接验证下看看
吧(需要登录)

http://www.tr4c3.com/UserPay.asp?raction=alipay_return&out_trade_no=1'

本地测试返回图示



如果想再深入点,看看动画吧,懒得打字了。:-)
由于本人没下载到dvbb8.1的sql版本,也懒得去网上找,所以无法判断其版本也存在该漏洞,有条件的朋友看看反馈
下。
动画下载
经过群里的淫棍樱木花盗测试官方确认mssql版本也受此漏洞影响

 
回复

使用道具 举报

aill 发表于 2006-6-8 19:21:27 | 显示全部楼层

re:Dvbbs8.1最新漏洞通杀Access和mssql版(注入文件Userpay.asp本)[

小刀:QQ58173096

东青,猪,你生日快乐~!!!

回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家

GMT+8, 2024-4-25 23:19 , Processed in 0.205597 second(s), 14 queries .

Powered by Dirtysea

© 2008-2020 Dirtysea.com.

快速回复 返回顶部 返回列表