鬼仔's Blog

鬼仔注：文章末尾所说的“去看sb同学的文章吧,能拿shell的”貌似 这篇文章 。

来源：Loveshell

BCT曾经发过bbsxp的注射,官方好象补了,真的补了么?看看,还是原来的文件还是原来的地方还是原来的函数还是原来的利用法子
sub Log(Message)
MessageXML=MessageXML&"<Message>"&Message&"</Message>"&vbCrlf
MessageXML=MessageXML&"<REMOTE_ADDR>"&Server.HTMLEncode(Request.ServerVariables("REMOTE_ADDR"))&"</REMOTE_ADDR>"&vbCrlf
MessageXML=MessageXML&"<Request_Method>"&Server.HTMLEncode(Request.ServerVariables("Request_method"))&"</Request_Method>"&vbCrlf
MessageXML=MessageXML&"<Server_Name>"&Server.HTMLEncode(Request.ServerVariables("server_name"))&"</Server_Name>"&vbCrlf
MessageXML=MessageXML&"<Script_Name>"&Server.HTMLEncode(Request.ServerVariables("script_name"))&"</Script_Name>"&vbCrlf
MessageXML=MessageXML&"<Query_String>"&Server.HTMLEncode(Escape(Request.ServerVariables("Query_String")))&"</Query_String>"&vbCrlf
MessageXML=MessageXML&"<Request_Form>"&Server.HTMLEncode(Escape(Request.Form))&"</Request_Form>"&vbCrlf
MessageXML=MessageXML&"<All_Http>"&Server.HTMLEncode(Request.ServerVariables("All_Http"))&"</All_Http>"&vbCrlf

Conn.Execute("insert into [BBSXP_EventLog] (UserName,ErrNumber,MessageXML) values ('"&CookieUserName&"','"&Err.Number&"','"&MessageXML&"')")
end sub

是的,没补,一点都没补,换了个写法,漏洞依然哪!可能对于server.htmlencode有点误解
<%
response.write(server.htmlencode(request("a")))
%>
a里带'是不会被转义的,偏偏就是'不会转,呵呵,但是escape函数不一样,特殊的都转,所以我们只能用那个
[code]Request.ServerVariables("All_Http")

现在去找log函数调用的地方,好多,最便宜的就是编辑帖子,当然这是insert的注射,对于access我没有好的办法,所以只能针对sql了,去看sb同学的文章吧,能拿shell的