Dvbbs8.1 0DAY

 

导读：
　　
　　看代码UserPay.asp行12-64
　　If Request("raction")="alipay_return" Then
　　AliPay_Return()
　　Dvbbs.Footer()
　　Response.End
　　ElseIf Request("action")="alipay_return" Then
　　AliPay_Return()
　　Dvbbs.Footer()
　　Response.End
　　'ElseIf Request("action")="Re_inmoney" Then
　　' Re_inmoney()
　　' Dvbbs.Footer()
　　' Response.End
　　End If
　　无论用户提交的raction为alipay_return还是action为alipay_return都调用了AliPay_Return()过程。AliPay_Return()的代码原型在行329-351，代码如下：
　　Sub AliPay_Return()
　　If Dvbbs.Forum_ChanSetting(5) <>"0" Then
　　AliPay_Return_Old()
　　Exit sub
　　Else
　　Dim Rs,Order_No,EnCodeStr,UserInMoney
　　order_No=Request("out_trade_no")
　　Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
　　If not(Rs.Eof And Rs.Bof) Then
　　AliPay_Return_Old()
　　Exit sub
　　End if
　　Response.Clear
　　Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
　　If Rs.Eof And Rs.Bof Then
　　Response.Write "N"
　　Else
　　Response.Write "Y"
　　Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = "&Rs("O_ID"))
　　End If
　　Response.End
　　End If
　　End Sub
　　如果Dvbbs.Forum_ChanSetting(5) <>"0" 就执行下面的sql语句，我们来看看数据库里默认的Forum_ChanSetting吧。
　　1,1,0,0,[email protected],0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
　　Forum_ChanSetting(5)缺省为0，好了你接着看就会笑了
　　Order_No=Request("out_trade_no")
　　Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
　　直接把获取的Order_No放到sql里面去了。
　　回顾一下DVbbs8.0的Userpay.asp同样一个函数看代码
　　Sub AliPay_Return()
　　If Dvbbs.Forum_ChanSetting(5) <>"0" Then
　　AliPay_Return_Old()
　　Else
　　Response.Clear
　　Dim Rs,Order_No,EnCodeStr,UserInMoney
　　order_No = Dvbbs.CheckStr(Request("order_no"))
　　Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")
　　If Rs.Eof And Rs.Bof Then
　　Response.Write "N"
　　可以看出Order_No用CheckStr处理了，不存在sql注入漏洞，为什么到了新版本反而就直接放行了呢？莫非是笔误？
　　如果你和我一样懒，并不想精心构造语句去搞破坏，只是试图去说明这个地方不安全，用下面的链接验证下看看
　　吧(需要登录)
　　http://www.tr4c3.com/UserPay.asp?raction=alipay_return&out_trade_no=1'
　　本地测试返回图示
　　
　　

 

 

　　
　　
　　如果想再深入点，看看动画吧，懒得打字了。:-)
　　由于本人没下载到dvbb8.1的sql版本，也懒得去网上找，所以无法判断其版本也存在该漏洞，有条件的朋友看看反馈
　　下。

　　动画下载:
　　http://www.tr4c3.com/upload/200801080917104654.rar
　　经过群里的淫棍樱木花盗测试官方确认mssql版本也受此漏洞影响
　　
　　
　　

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/linkboy2004/archive/2008/01/10/2034367.aspx