天天看點
傳回

Dvbbs8.1 0DAY

導讀:

  

  看代碼UserPay.asp行12-64

  If Request("raction")="alipay_return" Then

  AliPay_Return()

  Dvbbs.Footer()

  Response.End

  ElseIf Request("action")="alipay_return" Then

  AliPay_Return()

  Dvbbs.Footer()

  Response.End

  'ElseIf Request("action")="Re_inmoney" Then

  ' Re_inmoney()

  ' Dvbbs.Footer()

  ' Response.End

  End If

  無論使用者送出的raction為alipay_return還是action為alipay_return都調用了AliPay_Return()過程。AliPay_Return()的代碼原型在行329-351,代碼如下:

  Sub AliPay_Return()

  If Dvbbs.Forum_ChanSetting(5) <>"0" Then

  AliPay_Return_Old()

  Exit sub

  Else

  Dim Rs,Order_No,EnCodeStr,UserInMoney

  order_No=Request("out_trade_no")

  Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")

  If not(Rs.Eof And Rs.Bof) Then

  AliPay_Return_Old()

  Exit sub

  End if

  Response.Clear

  Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")

  If Rs.Eof And Rs.Bof Then

  Response.Write "N"

  Else

  Response.Write "Y"

  Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = "&Rs("O_ID"))

  End If

  Response.End

  End If

  End Sub

  如果Dvbbs.Forum_ChanSetting(5) <>"0" 就執行下面的sql語句,我們來看看資料庫裡預設的Forum_ChanSetting吧。

  1,1,0,0,[email protected],0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

  Forum_ChanSetting(5)預設為0,好了你接着看就會笑了

  Order_No=Request("out_trade_no")

  Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")

  直接把擷取的Order_No放到sql裡面去了。

  回顧一下DVbbs8.0的Userpay.asp同樣一個函數看代碼

  Sub AliPay_Return()

  If Dvbbs.Forum_ChanSetting(5) <>"0" Then

  AliPay_Return_Old()

  Else

  Response.Clear

  Dim Rs,Order_No,EnCodeStr,UserInMoney

  order_No = Dvbbs.CheckStr(Request("order_no"))

  Set Rs = Dvbbs.Execute("Select * From Dv_ChanOrders Where O_IsSuc=0 And O_PayCode = '"&Order_No&"'")

  If Rs.Eof And Rs.Bof Then

  Response.Write "N"

  可以看出Order_No用CheckStr處理了,不存在sql注入漏洞,為什麼到了新版本反而就直接放行了呢?莫非是筆誤?

  如果你和我一樣懶,并不想精心構造語句去搞破壞,隻是試圖去說明這個地方不安全,用下面的連結驗證下看看

  吧(需要登入)

  http://www.tr4c3.com/UserPay.asp?raction=alipay_return&out_trade_no=1'

  本地測試傳回圖示

  

Dvbbs8.1 0DAY

  

  

Dvbbs8.1 0DAY

  

  如果想再深入點,看看動畫吧,懶得打字了。:-)

  由于本人沒下載下傳到dvbb8.1的sql版本,也懶得去網上找,是以無法判斷其版本也存在該漏洞,有條件的朋友看看回報

  下。

  動畫下載下傳:

  http://www.tr4c3.com/upload/200801080917104654.rar

  經過群裡的淫棍櫻木花盜測試官方确認mssql版本也受此漏洞影響

  

Dvbbs8.1 0DAY

  

  

Dvbbs8.1 0DAY

  

網絡安全技術 action sql 測試 資料庫 c
上一篇: plesk panel 虛拟主機管理平台 0day
下一篇: 資料庫之ADO.NET基礎知識整理

繼續閱讀