[分享]动网的漏洞(SP1未修改的漏洞)!

marcokane

LBSALE[1]LBSALE[这个贴子最后由marcokane在 2004/06/27 07:46pm 第 1 次编辑]

由于近期有很多朋友反映自己的论坛被黑，并且多数为动网论坛，因此我们提醒各位朋友，如果您采用的是动网的论坛，请注意及时升级到动网论坛dvbbs7.0 SP2的版本以解决该安全漏洞,前段日子那只猪蛋把个动网上传文件的漏洞再网上搞了个天翻地覆,绝大多数人只注意这个漏洞了。可其实还有别的漏洞呢,现在动网0607的补丁也出来了，没补的快去补吧，省的到时候被哪个垃圾黑客瞄上损失可就大咯~
动网论坛漏洞说明如下：
    1、这个漏洞不算太严重，用过动网论坛的人都知道，发帖时直接写javascript会被过滤拆分，写http会自动加上链接，漏洞就在此，在这两个地方变通一下，把两个单词的某个字母换成编码形式，然后系统再对应地解码回字母，就达到了避免被过滤的目的。例子说明一下，在发帖时写入[ img ]javas&#x63ript:window.open(‘htt&#x70://www.ydspace.org’,’’)[ /img ] 很清楚地看到，#x63解码的字母是“c”，#x70解码的字母是“p”，&起到连接作用，最后加上[img]，使JS被触发，如果论坛支持flash插入，用[swf]也可。利用这个漏洞可以搞些恶作剧，写上诱人的主题，点进去结果是他的主页（骗点击率，作广告），甚至更绝，连到一个有病毒、木马的网页上，让你直想骂娘。这个漏洞存在于动网的各个版本，包括较新的0519版，覆盖面积之广让人瞠目，个人认为应该对某些非法字符进行检测剔除，而非简简单单地拆分了事，真希望动网开发者能尽早补上这漏洞。
    2、比起前者，第二个漏洞问题就大啦，利用该漏洞可以破解掉论坛上所有注册会员的密码（恐怖~~~），由于论坛管理员通常直接把论坛程序载下来稍加以美工就拿来使用了，图方便直接导致了漏洞的出现，只要看一下动网的数据库，就知道了密码的字段为userpassword，接着例如要破一个名叫abc的用户密码，首先察看abc的用户资料，给出的连接是http://xxxxx/dispuser.asp?name=abc，在dispuser.asp中，读取参数的语句是: username=trim(request(“name”))，数据库的查询的语句是: sql=”select * from [user] where username=’”&username&”’”,看得出来， abc就是直接被作为了dispuer的一个参数username。另外，如果该用户不存在，程序就会给出提示，既然如此，我们就再写入个查询密码的条件，在where　username=abc后面加上and userpassword=”******”，理论上这样就可以实现对密码的破解了，但这么破要破到何年何月，现在就要轮到VBS函数大显身手了，可以先用len函数试出用户的密码位数，地址就这么写http://xxxxx/dispuser.asp?name=abc';%20and%20len(userpassword)=5%20and%20';1';=';1，这么看可能不好理解，放到sql语句里其实就是这副样子：sql=“select * from [User] where username=';abc'; and len(UserPassword)=5 and ';1';=';1';”，现在明白点了吧，%20是空格，abc后面的单引号和’1’=’1里的单引号都是为了和sql语句相匹配。奇怪，该用户不存在，喔？那就说明符合这个条件的用户没有，继续，把5换成6，7，8，依此类推，只要能显示出用户资料了，就说明密码位数猜对了。接下来要做的就是试每位的密码是多少了，继续要用到VBS，可以用left或right或mid函数，http://xxxxx/dispuser.asp?name=abc';%20and%20left(userpassword,1)=';a，如果猜对了就给出用户资料，猜错了就给出该用户不存在的提示，这样子还是嫌太慢，那就在外面再套个asc函数，';50">http://xxxxx/dispuser.asp?name=abc';%20and%20asc(mid(userpassword,1,1))>';50 试出用户密码的ASCII码是否大于50，不断地缩小范围，相信很快就能将范围缩小至个位数，看到这里你是否惊出了一身冷汗，起码我是如此，靠几个函数的灵活运用，保守地说，不出半小时就能破解出密码。