最新漏洞！拿到动网8.1后台权限（图）

新客网 XKER.COM 2008-03-03 来源：黑客X档案收藏本文

国内用户最多的BBS程序——动网也不断地推陈出新，出到了现在的8.1.1版本。不过动网这次又暴出了一个高危漏洞，使攻击者可以直接获得管理员的密码MD5值，通杀Access和SQL版本。存在漏洞的文件为UserPay.asp，此文件传递的变量过滤不严，导致出现注入漏洞。受影响版本为：8.0.0 Sp1以上版本以及更新过支付宝接口的用户（引自动网官方论坛，不包含8.0.0 Sp1。经测试8.0.0和8.0.0 Sp1版本不受影响）。

一、漏洞成因

先简单介绍下漏洞形成的原因。

UserPay.asp代码第12-64行：

If Request("raction")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
ElseIf Request("action")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
'ElseIf Request("action")="Re_inmoney" Then
' Re_inmoney()
' Dvbbs.Footer()
' Response.End
End If

由代码可以看出，无论是用户提交的raction为alipay_return，还是action为alipay_return，都同样调用了AliPay_Return()过程。

AliPay_Return()的代码原型在第329-351行，代码如下：

Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
    Exit sub
Else
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
    If not(Rs.Eof And Rs.Bof) Then
   AliPay_Return_Old()
   Exit sub
    End if
    Response.Clear
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
    If Rs.Eof And Rs.Bof Then
   Response.Write "N"
    Else
   Response.Write "Y"
   Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
    End If
    Response.End
End If
End Sub

代码表明，如果Dvbbs.Forum_ChanSetting(5) <> "0" ，就执行代码下面的SQL语句。我们再来看看数据库里默认的Forum_ChanSetting的值吧：

1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

Forum_ChanSetting(5)缺省值为0，满足上面提到的条件，执行以下代码：

Order_No=Request("out_trade_no")
Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")

直接把获取的Order_No放到SQL里面执行去了，漏洞就这样出现了。

上一篇：解燃眉之急教你5种常用密码破解办法下一篇：黑客网吧入侵所用到的命令与技巧

【收藏】【评论】【推荐】【投稿】【打印】【关闭】