不为人知的动网7.1 SQL版注入漏洞

话说上期X档案刊登了动网8.0 SQL版最新注入漏洞的文章，不知大家都掌握了没有，令人兴奋的是，没过几在就又暴出了另一个动网7.1 SQL版的最新注入漏洞，这个漏洞可以直接更改任意用户的密码或直接添加论坛管理员，危害相当严重！存在漏洞的文件为dv_dpo.asp，有兴趣的朋友可以自行阅读该文件的源代码并分析漏洞的形成原因。本文则主要介绍如何利用工具针对该漏洞进行入侵测试以及如何在动网7.1 SQL版后台获取Webshell。

我在动网官方网站下载了最新版本的动网7.1 SQL版，并在本机上搭建好了论坛，架设好测试环境。要寻找使用动网7.1的论坛可以在Google以“Powered By Dvbbs Version 7.1.0 Sp1”为关键字搜索，至于如何判断是不是SQL版，我也没有什么好办法，这就得靠自己测试了。下面开始测试，先来看看漏洞利用工具的庐山真面目吧，如图 1。



首先在目标论坛注册一个用户，然后登录。我注册的用户名和密码均为hackest，在MSSQL企业管理器里可以看到Dv_User表段存放的注册用户名（hackest）及密码的MD5（eee01c9ab7267f25），如图2。



然后就可以使用工具来测试了，例如要修改普通用户hackest的登录密码，先在URL后面的框里填入目标论坛的访问地址（http://127.0.0.1/）， username处填入注册用户的用户名（hackest），password处填入你要更改的密码（admin888），然后点击“修改密码”，在下面的空白框可以看到返回信息，如果看到最后面出现了“基本资料修改成功”，就说明已经成功更改指定用户的密码了，如图3。



我们再到MSSQL企业管理器看看表段，是否真的更改了呢，结果如图4。用户hackest的密码MD5果然由原来的eee01c9ab7267f25成功的更改为了469e80d32c0559f8，漏洞测试成功！



当然了，上边是更改普通用户的密码，在实际的入侵中是可以直接改掉管理员密码的。还可以直接添加一个管理员呢！首先还是需要注册一个用户，然后在 “MSSQL语句”填入“前台管理员”后面的SQL语句，不过需要改一下用户名。比如要将普通用户hackest添加为前台管理员，可以填入 “update [Dv_User] set UserGroupID=1 where username='hackest'”，语句的大致意思为更新用户名为hackest的UserGroupID为1（UserGroupID=1即为前台管理员）。然后点击“MSSQL_Exec”提交，在下面的空白框中的返回信息如果出现“登陆成功”则说明已成功将普通用户提升为前台管理员了。

[1] [2] [3] 下一页