[原创]BBSXP再暴惊天漏洞
文章标题:[原创]BBSXP再暴惊天漏洞顶部 光芒果 发布于:2005-05-0715:57 [楼主][原创]BBSXP再暴惊天漏洞
文章作者:光芒果
信息来源:邪恶八进制信息安全团队
注意:次文章已经投稿《黑客防线》
说起来我与BBSXP还算蛮有缘的,因为我第一次建网站用的就是BBSXP3.0,此后又一直用到了4.1,只不过因为种种原因后来不用了(绝非安全因素,那时我对网络安全还是一窍不通,呵呵)。近Ri看到了许多文章都是讲BBSXP的漏洞的,从最早的“编辑贴子”处的Cookies欺骗到最新的搜索页面的注入攻击,BBSXP可谓是千疮百孔。于是我又想起了我的老朋友--BBSXP。在yuzi的授权下我于大年三十夜在访网站对最新的BBSXP做了一次安全检测。
现在官方用的是BBSXP5.15,而公布出来的程序最新的似乎是5.13,估计是5.15还在测试中的版本吧。但既然是yuzi授权的,问一个5.15的程序自然也非难事。拿到5.15的程序后,我就翻看了几个已知漏洞的文件代码,好像都补上了,我只好从其他地方入手了。翻到blog.asp这个文时,我发现了如下代码:
<%
username=HTMLEncode(Request("username"))
id=HTMLEncode(Request("id"))
top
ifid<>""then
sql="select*from[calendar]whereid="&id"orderbyidDesc"
else
sql="select*from[calendar]where(hide=0orusername='"&Request.Cookies("username")"')andusername='"&username"'orderbyidDesc"
endif
rs.Opensql,Conn,1
ifrs.eofthenerror("
username")
content=rs("content")
ifid=""then
content=ReplaceText(content,"<[^>]*>","")
iflen(content)>200thencontent=left(""&content"",200)"..."
endif
%>
<%=content%>
<%ifrs("hide")=1then%>
注:
<%ifid=""then%>
<%else%>
<%endif%>
|
<%ifRequest.Cookies("username")=usernamethen%>
<%else%>
<%endif%>
|
<%ifusername=Request.Cookies("username")ormembercode>3then%>
<%else%>
<%endif%>
|<%=rs("addtime")%>by
<%
RS.MoveNext
loop
RS.Close
%>
[]
cupation%>
的一切都是经过yuzi授权的,大家可不要自己乱搞,否则进了班房可别怪我。不过话又说回来,我检测完就把漏洞和补救方法告诉了yuzi,这篇文章发出来恐怕也要个把月后了,如果yuzi还没补上也怪不得我了。如果大家还有什么问题就到我朋友的小站https://www.wendangku.net/doc/d52689737.html,/bbs讨论吧。
附件是图文PDF:
附件:BBSXP再暴惊天漏洞.rar(445K)下载次数:56顶部 evilbogy 发布于:2005-05-0717:35 [1楼]
好象以前在黑客防线上看过,呵呵,楼主是广西贺州的?顶部 白天的猫 发布于:2005-05-1011:17 [2楼]
Quote:
下面是引用evilbogy于05-07-200517:35发表的:
好象以前在黑客防线上看过,呵呵,楼主是广西贺州的?
那家伙是贺州的
他骗稿费的手段不是一般的高哦顶部 光芒果 发布于:2005-05-1317:06 [3楼]
我是投过给黑防,但好像没要啊!漏洞是我首发的,但因为是授权的安全检测,我不敢写的太详细,黑防那个是类似的文章,勇哥写的,比较详细。WTF就要他的咯,不过yuzi在漏洞没公布前都没把官方补好,我算是白检测了,晕。顶部 光芒果 发布于:2005-05-1317:09 [4楼]
Quote:
下面是引用evilbogy于05-07-200517:35发表的:
好象以前在黑客防线上看过,呵呵,楼主是广西贺州的?
干什么公布出来啊??死猫也来出卖我,林林,为我作主啊!!!顶部 冰血封情 发布于:2005-05-1318:09 [5楼]
有些图片看不到能否提供编好的word版本希望大家以后用pdf发文章保护自己的版权如果想开放共享也很好控制:)顶部 llikz 发布于:2005-05-1323:45 [6楼]
光芒果:
你很不厚道啊,首先漏洞是我和勇哥儿发现的,在BBSXP5.15版本中存在三个安全漏洞
一个是usertop.asp,一个是manageuser.asp其他一个就是你说的那个blog.asp了,
还有一个是要饭的发现的。即使blog.asp是你发现的。你是进行的安全检测,那为什么官方在知道有漏洞至少5个月了也不修补漏洞呢?
对于你的文章,你好好读读程序把,你看看setup.asp中HTMLENCODE()函数是个什么东西,你竟然说对id变量没有做任何过滤,不知道你是怎么读的程序,其实这个函数过滤了'号;号等,你竟然没有发现,所以你使用NB是不会破解出来的。这里付上代码:
functionHTMLEncode(fString)
fString=replace(fString,";",";")
fString=replace(fString,"<","<")
fString=replace(fString,">",">")
fString=replace(fString,"\","\")
fString=replace(fString,"--","--")
fString=replace(fString,"'","'")
fString=replace(fString,CHR(34),""")
fString=replace(fString,vbCrlf,"
")
HTMLEncode=fString
endfunction
不多说了。顶部 冰血封情 发布于:2005-05-1400:14 [7楼]
光芒果早发现一部分漏洞肯定是真实的而勇哥儿他们的肯定比较全面而且细致顶部 光芒
果 发布于:2005-05-1417:42 [8楼]
Quote:
下面是引用llikz于05-13-200523:45发表的:
光芒果:
你很不厚道啊,首先漏洞是我和勇哥儿发现的,在BBSXP5.15版本中存在三个安全漏洞
一个是usertop.asp,一个是manageuser.asp其他一个就是你说的那个blog.asp了,
还有一个是要饭的发现的。即使blog.asp是你发现的。你是进行的安全检测,那为什么官方在知道有漏洞至少5个月了也不修补漏洞呢?
对于你的文章,你好好读读程序把,你看看setup.asp中HTMLENCODE()函数是个什么东西,你竟然说对id变量没有做任何过滤,不知道你是怎么读的程序,其实这个函数过滤了'号;号等,你竟然没有发现,所以你使用NB是不会破解出来的。这里付上代码:
.......
谢谢你的回复,但我确实是告诉了yuzi的,至于他为什么不补我就不清楚了,我后来也曾多次通过QQ和短讯给yuzi留言但没得到回复。这个漏洞是在年三十晚检测的,因为快过年了,代码没注意看。本来我是不想投的,因为没什么新意。但过两个星期我打电话给WTF有点事说道这个漏洞是WTF说我可以写出来我就写了,后来很久没见发出来,我也不敢把文章放到网上,现在你们公布了我知道我的没上我才发出来的,有投稿的图为证,还有什么问题可以联系76194753
=800)window.open('https://www.wendangku.net/doc/d52689737.html,/UploadFiles/2005514173418184.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
[此贴被EvilOctal在05-20-200503:40重新编辑]顶部 光芒果 发布于:2005-05-1417:48 [9楼]
Quote:
下面是引用冰血封情于05-13-200518:09发表的:
有些图片看不到能否提供编好的word版本希望大家以后用pdf发文章保护自己的版权如果想开放共享也很好控制:)
因为我一般是在网吧做事,所以没办法用PDF咯。(c)Copyleft2003-2007,EvilOctalSecurityTeam.
ThisfileisdecompiledbyanunregisteredversionofChmDecompiler.
Regsiteredversiondoesnotshowthismessage.
YoucandownloadChmDecompilerat:https://www.wendangku.net/doc/d52689737.html,/