bbsxp注入漏洞.docVIP

bbsxp注入漏洞 　 　 bbsxp注入漏洞 　 新版bbsxp注入漏洞再现,可直接得到管理员帐户密码 ——我找到bbsxp5 sp1漏洞的过程总结 前期杂志有篇文章是关于BBSXP的，用的是Cookie注入攻击，作者真是思路巧妙，可以想到逻辑漏洞。 当时看了文章后，学校有事情就没读代码。暑假闲着无事，所以就把最新版的BBSXP下载下来读了一遍。 BBSXP确实短小精悍，文件有少又短，不过比起DVBBS无论从功能上还是界面上还是有点差别， 不过从漏洞上比还确实无分上下， 经过了3年的测试，还是多少有点瑕疵。 一．漏洞寻找 论坛对字符串输入用HTMLEncode转换，数字类型的用int函数调整，Isnumeric函数判断。 很显然查询中有数字和字符串作为值输入的肯定不能利用了。不能做为值输入可以做为什么输入呢？ 这就是问题的关键。我把每个文件带着这个思路粗略浏览了一遍，用了很长时间才在search.asp （好象以前就有过漏洞，改了原来的却有了新的）找到了漏洞，一起看看代码。 !-- #include file=setup.asp -- % top if Request.Cookies(username)=empty then error(li你还未a href=login.asp登录/a社区) DetectPost if Request(menu)=ok then search=Request(search) forumid=Request(forumid) TimeLimit=Request(TimeLimit) content=HTMLEncode(Request(content)) searchxm=HTMLEncode(Request(searchxm)) searchxm2=HTMLEncode(Request(searchxm2)) searchxm2=replace(searchxm2,@,) if content=empty then content=Request.Cookies(username) if isnumeric(forumid) then forumidor=forumid=forumid and if search=author then item=searchxm=content elseif search=key then item=searchxm2 like %content% end if if TimeLimit then TimeLimitList=and lasttimeSqlNowString-int(TimeLimit) sql=select top MaxSearch * from forum where deltopic1 and forumidor item TimeLimitList order by lasttime Desc rs.Open sql,Conn,1 …… 　 我们仔细研究一下 sql=”select top “MaxSearch …这句，其中MaxSearch是定义好的，默认值为500， 剩下3处是从外面输入的。 1．if isnumeric(forumid) then forumidor=forumid=forumid and 只要forumid输入为空，那么forumidor就为空. 2．if TimeLimit then TimeLimitList=and lasttimeSqlNowString-int(TimeLimit) TimeLimit是个整数，随便输入（输入个1），那么TimeLimitList变成” and lasttimenow()-1”, 在MSSQL中变成” and lasttimegetdate()-1”. 3. if search=author then item=searchxm=content elseif search=key then item=searchxm2 like %content% end if 只要search=”author”,content随便输入(输个abcd)，那么item= HTMLEncode(searchxm)=’abcd’, 只要我们构造好输入，通过上面的语句，就把SQL语句变为： select top 500 * from forum where deltopic1 and [ HTMLEncode(searchxm)] =’abcd’ and lasttimenow()-1 order by lasttime Desc 用中括号括起来的部分前后都没单引号，显然可以利用了。 先看看 HTMLEncode函数 function HTMLEncode(fStri