VULHUB ™

动网是通过GroupID来判断当前用户所在的组的，然后再通过组的信息判断用户的权限。动网将用户的信息先用”|||”三个竖线连起来，做为一个字符串传给iMyUserInfo,然后iMyUserInfo由”|||”分隔成一个字符串数组。用户密码验证正确后就把数组的第20个元素的值：iMyUserInfo(19) 赋给GroupID,GroupID只是数组对应的第20个元素的值，如果iMyUserInfo(19)的值为１的话，动网就以为现在登录的用户是前台管理员了。在基本资料修改时，动网只过滤了sql注入用的几个符号，没有过滤掉’|’，所以只要我们构造出正确的字符串，就可以骗过动网，成为管理员组的用户了。修改用户头像，抓包，替换userface的值就可以实现。 DVBBS 7.1.0 SP1 在reg.asp和mymodify.asp中加入对相应变量的”|”符号进行过滤，比如： face=Dv_FilterJS(Replace(face,\"\'\",\"\")) face=Replace(face,\"..\",\"\") face=Replace(face,\"\\\",\"/\") face=Replace(face,\"^\",\"\") face=Replace(face,\"#\",\"\") face=Replace(face,\"%\",\"\") face=Replace(face,\"|\",\"\")

动网是通过GroupID来判断当前用户所在的组的，然后再通过组的信息判断用户的权限。动网将用户的信息先用”|||”三个竖线连起来，做为一个字符串传给iMyUserInfo,然后iMyUserInfo由”|||”分隔成一个字符串数组。用户密码验证正确后就把数组的第20个元素的值：iMyUserInfo(19) 赋给GroupID,GroupID只是数组对应的第20个元素的值，如果iMyUserInfo(19)的值为１的话，动网就以为现在登录的用户是前台管理员了。在基本资料修改时，动网只过滤了sql注入用的几个符号，没有过滤掉’|’，所以只要我们构造出正确的字符串，就可以骗过动网，成为管理员组的用户了。修改用户头像，抓包，替换userface的值就可以实现。 DVBBS 7.1.0 SP1 在reg.asp和mymodify.asp中加入对相应变量的”|”符号进行过滤，比如： face=Dv_FilterJS(Replace(face,\"\'\",\"\")) face=Replace(face,\"..\",\"\") face=Replace(face,\"\\\",\"/\") face=Replace(face,\"^\",\"\") face=Replace(face,\"#\",\"\") face=Replace(face,\"%\",\"\") face=Replace(face,\"|\",\"\")