不为人知的动网7.1 SQL版注入漏洞(图)

作者:hackest    十六进制信息安全小组官方讨论组：http://www.hackm.com/    博客:http://www.hackest.cn

文章难易度：★★★
文章阅读点：动网7.1 SQL版最新注入漏洞的详细利用以及如何在后台获取Webshell

话说上期X档案刊登了动网8.0 SQL版最新注入漏洞的文章，不知大家都掌握了没有，令人兴奋的是，没过几在就又暴出了另一个动网7.1 SQL版的最新注入漏洞，这个漏洞可以直接更改任意用户的密码或直接添加论坛管理员，危害相当严重！存在漏洞的文件为dv_dpo.asp，有兴趣的朋友可以自行阅读该文件的源代码并分析漏洞的形成原因。本文则主要介绍如何利用工具针对该漏洞进行入侵测试以及如何在动网7.1 SQL版后台获取Webshell。
我在动网官方网站下载了最新版本的动网7.1 SQL版，并在本机上搭建好了论坛，架设好测试环境。要寻找使用动网7.1的论坛可以在Google以“Powered By Dvbbs Version 7.1.0 Sp1”为关键字搜索，至于如何判断是不是SQL版，我也没有什么好办法，这就得靠自己测试了。下面开始测试，先来看看漏洞利用工具的庐山真面目吧，如图1。

首先在目标论坛注册一个用户，然后登录。我注册的用户名和密码均为hackest，在MSSQL企业管理器里可以看到Dv_User表段存放的注册用户名（hackest）及密码的MD5（eee01c9ab7267f25），如图2。

然后就可以使用工具来测试了，例如要修改普通用户hackest的登录密码，先在URL后面的框里填入目标论坛的访问地址（http://127.0.0.1/），username处填入注册用户的用户名（hackest），password处填入你要更改的密码（admin888），然后点击“修改密码”，在下面的空白框可以看到返回信息，如果看到最后面出现了“基本资料修改成功”，就说明已经成功更改指定用户的密码了，如图3。

我们再到MSSQL企业管理器看看表段，是否真的更改了呢，结果如图4。用户hackest的密码MD5果然由原来的eee01c9ab7267f25成功的更改为了469e80d32c0559f8，漏洞测试成功！