国内用户最多的BBS程序——动网也不断地推陈出新，出到了现在的8.1.1版本。不过动网这次又暴出了一个高危漏洞，使攻击者可以直接获得管理员的密码MD5值，通杀Access和SQL版本。存在漏洞的文件为UserPay.asp，此文件传递的变量过滤不严，导致出现注入漏洞。受影响版本为：8.0.0 Sp1以上版本以及更新过支付宝接口的用户（引自动网官方论坛，不包含8.0.0 Sp1。经测试8.0.0和8.0.0 Sp1版本不受影响）。

    一、漏洞成因

    先简单介绍下漏洞形成的原因。

    UserPay.asp代码第12-64行：

If Request("raction")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
ElseIf Request("action")="alipay_return" Then
AliPay_Return()
Dvbbs.Footer()
Response.End
'ElseIf Request("action")="Re_inmoney" Then
' Re_inmoney()
' Dvbbs.Footer()
' Response.End
End If


    由代码可以看出，无论是用户提交的raction为alipay_return，还是action为alipay_return，都同样调用了AliPay_Return()过程。

    AliPay_Return()的代码原型在第329-351行，代码如下：

Sub AliPay_Return()
If Dvbbs.Forum_ChanSetting(5) <> "0" Then
    AliPay_Return_Old()
    Exit sub
Else
    Dim Rs,Order_No,EnCodeStr,UserInMoney
    Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")
    If not(Rs.Eof And Rs.Bof) Then
   AliPay_Return_Old()
   Exit sub
    End if
    Response.Clear
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=0 And O_PayCode='"&Order_No&"'")
    If Rs.Eof And Rs.Bof Then
   Response.Write "N"
    Else
   Response.Write "Y"
   Dvbbs.Execute("Update Dv_ChanOrders Set O_IsSuc=3 Where O_ID = " & Rs("O_ID"))
    End If
    Response.End
End If
End Sub

    代码表明，如果Dvbbs.Forum_ChanSetting(5) <> "0" ，就执行代码下面的SQL语句。我们再来看看数据库里默认的Forum_ChanSetting的值吧：

1,1,0,0,pay@aspsky.net,0,b63uvb8nsvsmbsaxszgvdr6svyus0l4t,1,1,1,1,1,1,1,100,1,1,1,1,1,1,1,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

Forum_ChanSetting(5)缺省值为0，满足上面提到的条件，执行以下代码：

Order_No=Request("out_trade_no")
    Set Rs = Dvbbs.Execute("Select * From [Dv_ChanOrders] Where O_IsSuc=3 And O_PayCode='"&Order_No&"'")

    直接把获取的Order_No放到SQL里面执行去了，漏洞就这样出现了。

二、漏洞测试
    架设动网8.1.1 Access最新版本论坛。以默认的管理员身份登录（在实际入侵中需要注册用户登录），然后直接访问UserPay.asp文件，点击“网上支付”，。然后再点击“所有交易记录”，这样做的目的是为了得到一个订单号。

    2008010901555983075b64cea5f就是我们需要的订单号了。构造如下URL：http://127.0.0.1/UserPay.asp?rac ... 01555983075b64cea5f（提交此URL会看到只有一个字母Y），在此URL后面加上单撇号，回车提交，返回错误信息：
    Microsoft JET Database Engine 错误 '80040e14'
    字符串的语法错误 在查询表达式 'O_IsSuc=3 And O_PayCode='2008010901555983075b64cea5f''' 中。
    /inc/Dv_ClsMain.asp，行 1525
    用NBSI3.0检测该URL，结果为“未检测到注入漏洞”。别担心，给它填入“特征字符”就可以正常检测到了，特征字符处填入“非法的订单参数”即可，接着猜出表段、字段以及里面存放的内容。

    然后查询MD5密码明文，再登录后台。我测试的是Access版本的，不过此漏洞同样对SQL版本的有效。
    三、漏洞修补
    正如漏洞发现者所言，在8.0.0及8.0.0 Sp1版本里并不存在此漏洞。因为旧版本的UserPay.asp对out_trade_no作了过滤，让人不解的是新版本居然没有！不过动网官方的反应也很迅速，漏洞公布次日就发布了相关修补方法。不过就算官方不发，我们也可以依样画葫芦把这个漏洞修补掉。对比一下8.0.0版本 的UserPay.asp的代码就知道如何修补了：打开UserPay.asp，查找Order_No=Request ("out_trade_no")，然后替换为Order_No=Dvbbs.Checkstr(Request("out_trade_no"))，即可修复此漏洞。

[ 本帖最后由 god81 于 2008-3-4 00:20 编辑 ]

很经典。 .高人门就是厉害啊..佩服啊。

确实是十分的高啊,高,高,实在是高啊,支持高人

天哪！编程序的时候随便粗心一下都不行啊！
伟大的ASP啊！你的安全性……还真是让人担心！

那意思是现在这漏洞已经没用了？还想叫楼主推荐些8.1的论坛试验下效果呢

很经典。 .高人门就是厉害啊..佩服啊。