关于动网论坛入侵的文章很多,由于对ASP不感兴趣所以一直不曾尝试过做些什么,其实在各位的努力下动网的安全性已经提高了很多了,版本也已经发展到7.0.0 sp2了,入侵也不是那么简单了。下文通过动网一个比较常用的插件为入口….呵呵,我也有幸插一脚! 故事发生在公元前不久,公司内部论坛开了个什么宠物领养的功能,上至公司老总下到像我这样的草根层,都兴致勃勃,由于我不喜欢灌水,所以社区币很少,看着那些高等级的人,心里实是不爽,于是想找点另类的方法来提高等级,于是乎历史上多了这么段小插曲…… 公司论坛装的是大名鼎鼎的DVBBS,上safechina.net搜了一把没发现在方面的内容,看来现在比以前是好很多了,不就是要社区币嘛嘛,从哪里来?一.发贴,二…..呵呵,银行啊!走抢银行去!!!论坛有个社区银行,说不定有突破呢!上dvbbs.net看了一下没有这功能,看来是第三方厂商的插件了(窃笑),看来希望大多了,惯性的找些有输入框的地方,先看到的是“事件”,原来是银行历史记录的查询,照例输入一个单引号’,呵呵,出错了:打印出:user=’’’ order by ID 没有过滤,输入1’ or user name like’%a% 结果正确。可惜是JET DB驱动,一般是Access了,累,既然这么基本的输入过滤都没做,那么看来作者的安全意识不是很高了,反正我只要钱,不用这么累,找找有没能直接update的,抽烟ing….,呵呵,银行事务,存款,取款,转账,贷款每个测试一下,发现只有转账中的目标用户名能输入字符,其它都限制只能输入数字了,嘿嘿,这个功能肯定update用户的金钱,又是单引号’,又出错了,直觉告诉我能行了,于是转1块钱给 a’ or username=’b,提交….,错误信息,郁闷ing….,看看b用户,多了一块钱,a用户一分钱都没少(明白了吗?我的一块钱变成两块了,如果你多几个 or 就多更多了,其实它的语句就是update aa set money=money+xxx where username=’$username’),hahaha,五分钟后,我就拥有了500万!!呵呵,这可是我这辈子第一次抢银行啊(要不你还能活着在这废话),如果现实中我能有这么多钱该多好啊^_^ 好了,我目的也达到了,要做别的什么的话也可能只是时间的问题,我没兴趣也没时间去做那些了,不过,我Google了一下,发现用这个插件的BBS还真是不少,本来也想看看它源代码,但是找了半天没找到,所以我也不知道是谁开发的,也没法发什么BUG报告了,算了!希望没人做什么坏事吧!!
