DVBBS

补丁来源:[Bug.Center.Team-漏洞预警中央小组] http://www.cnbct.org
补丁名称:动网论坛（DVBBS V7.1 SP1)Boke安全更新补丁20060302
周详说明:
该补丁为[Bug.Center.Team-漏洞预警中央小组]发布，针对DVBBS V7.1 SP1 Boke程式的安全漏洞所制作的安全更新补丁，压缩包内存在ACCESS和MS_SQL两个版本，因程式影响面广，所以公开安全更新，请使用该版本的用户及时下载或停止Boke服务，等待官方补丁发布.
Boke程度当中的Cls_Main.asp存在严重的安全漏洞，致使恶意用户能够远程注射网站。DVBBS官方已更新其漏洞，但没见发布安全补丁。所以此为非官方发布版本。
如有问题，请访问[Bug.Center.Team-漏洞预警中央小组]官方网站咨询。

就自己下载安装DVBBS V7.1 SP1
对应一下发现只是在 Cls_Main.asp 中加入了一句：ArchiveLink = Replace(ArchiveLink,"'","")

ArchiveLink 中可提取出 BokeName的值

假如但是滤 “'”，将会在 205 行产生注入漏洞，具体代码为

Sql = "Select UserID,UserName,NickName,BokeName,PassWord,BokeTitle,BokeChildTitle,BokeNote,JoinBokeTime,PageView,TopicNum,FavNum,PhotoNum,PostNum,TodayNum,Trackbacks,SpaceSize,XmlData,SysCatID,BokeSetting,LastUpTime,SkinID,Stats,S.S_SkinName,S.S_Path,S.S_ViewPic,S.S_Info,S.S_Builder From [Dv_Boke_User] U Inner Join [Dv_Boke_Skins] S On U.SkinID = S.S_ID"
Sql = Lcase(Sql)
If BokeName<>"" Then
Sql = Sql & " where BokeName = '"&BokeName&"'"
ElseIf BokeUserID>0 Then
Sql = Sql & " where UserID = "&BokeUserID
Else
'请选取相关的DVBOKE，返回综合列表
Exit Sub
End If

自己就写了一段ASP代码，自动获得MD5密码，水平有限，高手勿笑。
CODE: [Copy to clipboard]
--------------------------------------------------------------------------------