Dvbbs7.1 sp1 SQL版savepost.asp注入漏洞分析、利用及防范

摘要：一、概述漏洞介绍：http://coolersky.com/leak/programme/bbs/2006/0515/515.html前几天...

一、概述

漏洞介绍：

http://coolersky.com/leak/programme/bbs/2006/0515/515.html

前几天就听Hak_Ban说有人把dvbbs7的一个注入漏洞给发布出去了，一直也没时间看看，下午跟Edward要了个链接看了看：

http://www.eviloctal.com/forum/read.php?tid=22074

本站转贴为：

http://coolersky.com/articles/hack/analysis/programme/2006/0515/238.html

看了看风尘浪子的分析，觉得已经分析的挺明白的了，不过群里还是有几个朋友搞不太明白，索性在本地搭环境测试一下漏洞，感谢keng提供程序，呵呵，实在懒得去网上找。

二、漏洞分析

既然是savepost.asp程序的问题，那就打开改文件，风尘浪子已经提到是ToolsBuyUser参数过滤不足，那就看这个变量。

32行，定义变量：

Private GetPostType,ToMoney,UseTools,ToolsBuyUser,GetMoneyType,Tools_UseTools,Tools_LastPostTime,ToolsInfo,ToolsSetting

111行，置空

ToolsBuyUser = ""

120行，在参数GetPostType为0时，赋值

ToolsBuyUser = "0|||$SendMoney"

123行，在参数GetPostType为1时，赋值

ToolsBuyUser = "0|||$GetMoney"

139行，在参数GetPostType为2时，赋值

ToolsBuyUser = "0@@@"&Buy_Orders&"@@@"&Buy_VIPType&"@@@"&Buy_UserList&"|||$PayMoney|||"

747行，定义sql

SQL="insert into "&TotalUseTable&"(Boardid,ParentID,username,topic,body,DateAndTime,length,RootID,layer,orders,ip,Expression,locktopic,signflag,emailflag,isbest,PostUserID,isupload,IsAudit,Ubblist,GetMoney,UseTools,PostBuyUser,GetMoneyType) values ("&Dvbbs.boardid&","&ParentID&",'"&username&"','"&topic&"','"&Content&"','"&DateTimeStr&"','"&Dvbbs.strlength(Content)&"',"&RootID&","&ilayer&","&iorders&",'"&Dvbbs.UserTrueIP&"','"&Expression(1)&"',"&locktopic&","&signflag&","&mailflag&",0,"&Dvbbs.userid&","&ihaveupfile&","&IsAudit&",'"&UbblistBody&"',"&ToMoney&",'"&UseTools&"','"&ToolsBuyUser&"',"&GetMoneyType&")"

745行，执行sql

Dvbbs.Execute(sql)

我们看到，在整个获得数据到提交的过程中，没有对ToolsBuyUser参数进行安全过滤，导致了sql注入漏洞。

三、漏洞利用

1、注册用户coolersky

2、选择发表新话题

3、在“选择帖子类型”中选中“论坛交易帖设置”

4、在“可购买用户名单限制：”中写入

http://www.eviloctal.com/forum/read.php?tid=22074

0 修改口令后，重新登陆论坛，若使用123456登陆成功，则说明该漏洞尚未修补。

5、获得前台管理员用户名和口令，分别放在自定义头像和签名中，查看用户coolersky的基本资料即可看到。

http://www.eviloctal.com/forum/read.php?tid=22074