注意:文章已經(jīng)發(fā)表在2008第7期《黑客手冊(cè)》上,轉(zhuǎn)載請(qǐng)注明出處。
幾 個(gè)月前，DVBBS php2.0暴了一個(gè)可以直接讀出管理員密碼的sql注入漏洞，當(dāng)時(shí)這個(gè)漏洞出來(lái)的時(shí)候，我看的心癢，怎么還會(huì)有這么弱智的漏洞，DVBBS php2.0這套代碼我還沒(méi)仔細(xì)看過(guò)，于是5月中旬我down下來(lái)粗略看了下，接著我花了三天的時(shí)間，拿下p.dvbbs.net，即動(dòng)網(wǎng)php的官方網(wǎng) 站，并得到了webshell?？偟膩?lái)說(shuō)，這次入侵憑的是二分技術(shù)加一分運(yùn)氣。

　　一、 SQL注入漏洞：

　　晚上檢查了好久，終于在topicother.php中發(fā)現(xiàn)了一處sql注入漏洞，但是并不像前段時(shí)間暴的漏洞那么簡(jiǎn)單，因?yàn)椴荒馨衙艽a直接讀出數(shù)據(jù)庫(kù)并顯示出來(lái)，這是個(gè)活動(dòng)帖子的報(bào)名主函數(shù)，我簡(jiǎn)單搜索了下，1.0好像后來(lái)就增加了這個(gè)功能。好了，來(lái)看具體函數(shù)：

function PostActive_Main(){
……
$TopicID = $GLOBALS['id'];
$activeid = trim($_GET['activeid']);//activeid并沒(méi)有過(guò)濾
$timemode = $_POST['payment'];
$systemmode = trim($_POST['contact']);
$message = trim($_POST['message']);

$gettimemode = trim($_POST['timemode']);
$getstarttime = trim($_POST['starttime']);
$getendtime = trim($_POST['endtime']);
$getexpiretime = trim($_POST['expiretime']);

if($timemode ==0)
$costnum = 0;
else
$costnum = intval(trim($_POST['payvalue']));
//直接帶進(jìn)來(lái)使用了
if( $query = $db->query("SELECT u1.sex,u1.strength,u2.usersex FROM {$dv}active as u1,{$dv}user as u2 WHERE activeid={$activeid}")){
$activeinfo =& $db->fetch_array($query);
if( !empty($activeinfo) ) {
$db->free_result($query);
}
}
if( $num = $db->query("SELECT count(*) as num from {$dv}activeuser where activeid='".$activeid."'")){
$activenum = $db->fetch_array($num);
if( !empty($activenum) ) {
$db->free_result($num);
}
}
…
//如果查取的activeid不正確或者后面注入的條件不成立，則顯示顯示str1：對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!
if($activenum['num']>=$activeinfo['strength']){
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str1']);
exit;
}
//如果activeid正確（后面注入的條件也成立），但沒(méi)有登陸，就顯示str2：請(qǐng)登陸后操作!
if ($userid==0) {
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str2']);
exit;
}
…
//如果activeid正確并且已經(jīng)登陸了，遞交的時(shí)候沒(méi)有遞交聯(lián)系方式，則會(huì)顯示str6這個(gè)錯(cuò)誤：對(duì)不起聯(lián)系方式不能為空或小于8個(gè)字符!
if (''==$systemmode||strlen($systemmode)<8) {
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str6']);
exit;
}
…
}


　　首先先確定有沒(méi)有activeid為1的活動(dòng)帖子，就是在論壇目錄后加上

　　topicother.php?t=9&action=join&activeid=1

　　顯示“對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!”則有可能不存在，自己注冊(cè)個(gè)號(hào)進(jìn)去發(fā)個(gè)活動(dòng)帖子先。

　　根 據(jù)上面解釋，大家是否已經(jīng)看出來(lái)該怎么注入啦，并不是什么都需要工具的，想當(dāng)年ACCESS手工注入又不是沒(méi)注入過(guò)，判斷條件正確就返回正常，錯(cuò)誤就不正 常顯示;這里不也是同樣的道理么，不管有沒(méi)登陸，出錯(cuò)都顯示：“對(duì)不起!本活動(dòng)報(bào)名人數(shù)已滿!”，如果判斷條件正確，沒(méi)有登陸的話顯示：“請(qǐng)登陸后操 作!”，已經(jīng)登陸了顯示：“對(duì)不起聯(lián)系方式不能為空或小于8個(gè)字符!”于是當(dāng)晚我手動(dòng)測(cè)試了一下官方，并成功獲得了一個(gè)管理員的16位MD5的密碼。興奮 的去睡覺(jué)，躺在床上卻怎么也睡不著：怎么去更簡(jiǎn)單的利用呢?一邊思考，一邊入睡，睡著的時(shí)候天都亮了。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。