危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览19379187

Dvbbs php最新注入漏洞

动网论坛系统一直都是国内论坛架设者关注的论坛系统,无论是ASP版本还是PHP版本都以其简易化操作而深受用户喜爱,但其漏洞也是层出不穷。继dispuser.php页面注入漏洞后,又最新发布的Dvbbs pbp 及Dvbbs php CRS版本的indivigroup_dispbbs.php页面注入漏洞又为其一。

首先让我们来简单看一下出现问题的漏洞代码。

从上述代码中明显可见$groupboardid变量仅仅作了非0值的判断,但并没用经过任何过滤就代入SQL查询,从而导致了注入漏洞。在该参数后提交我们想实现的SQL语句即可实现注入。下面来测试一下该漏洞。在GOOGLE中搜索inurl:indivigroup_dispbbs.php可以发现有大量使用了Dvbbsphp系统的连接,可随便选择一个进行测试。本人随便选择了一个,在groupboardid=2后分别提交and 1=1和and 1=2,可以发现两次返回的页面不一样,证明漏洞存在。     

随后继续提交,返回正常,可以确定是MYSQL数据库。接着来测试数据库的版本,因为MYSQL只有4.0以上才可以进行UNION查询,能进行UNION查询当然就方便很多了。提交返回正常,于是可以确定数据库版本应为4.0以上,因为经检查后发现网站所在服务器主机的操作系统为WINNT,故以下的测试过程用常规的联合查询猜解法,当然,如果遇上LINUX系统主机可以用load_file()函数来读取关键文件予以测试,本文目的仅用于指示该漏洞本身,故不讨论其他的渗透方法。

下面继续来匹配字段数,经过尝试,提交和提交order by 12的返回不一样,表明了字段数为11。继续提交,可以发现页面出现“3”这个数字的地方即为数据要显示的地方(在联合查询时其他参数&id=1&id3&page=等等可以省略,并无影响)。

再进一步猜解数据之前,可先从动网官方下载一套Dvbbs php系统,了解数据库的结构,或者直接在官网的在线开发文档上也可以看到。经研究后了解该系统数据库结构有两个重要的表dv_user和dv_admin,里面有若干字段分别用来存放前台用户和后台管理员的账号密码,在登录后台时管理员的前台和后台信息是同时需要的。我们先来爆管理员的前台信息,分别提交,很快便在刚才显示数字的3的地方爆出了管理员前台登录账号及密码MD5密文。

把密文输入到md5官网进行破解,出来的明文就可以登录管理后台了。至于拿webshell等操作就跟以往的动网系列系统大同小异了,至此测试完毕。

该漏洞厂商目前还没有发布修补补丁,所以用户应及时留意升级信息。另外也可以通过自行修改indivgroup_dispbbs.php页面中的代码,对$groupboardid变量进行过滤即可。

相关推荐