从注入到拿WEBSHELL(BBSXP7 mssql版)

这个BBSXP的log注入在一月份发过，不过当时那篇文章说的只是注入，但是没有写拿shell的方法，这篇的分析比较详细，拿shell的方法也不错。

这个东西是去年前发现的了。好象内容细节在哪个杂志上发了。不过似乎杂志和作者都没跟我联系呢？不管，发了再说。
针对BBSXP7的，是HTTP头注入。
没有多大的看头，熟悉的朋友，请从后面拿SHELL的地方开始看。
反正看得懂的就看。
看不懂的请提问，不过希望大家问一点有水平的问题。
太基础的，GOOGLE上可以搜索到的问题，恕我不回答。

我们都知道yuzi.net是BBSXP的官方论坛。
最近读代码，读到了BBSXP
一个不小心，就找到了一个注入。。
拿bbs.yuzi.net去测试。一不小心就测试通过，并且通过此注入点，得到了WEBSHELL。其中就用到了我所谓的数据库处理数据和FSO处理数据的一点小差异，而拿到的WEBSHELL。欲知详情，请跟着我一步一步来看。。。

原创：sobiny[bct]
网址：http://sobiny.cn

BBSXP我读过还几次了，还没发现什么大的问题。
结果这次读的时候，发现了一个很奇怪的过程。

Setup.asp文件是BBSXP系统的函数文件，外面调用的函数基本上都在里面了。
在第394行有一个log过程，其代码如下： 我们明显的看到了。

这5个HTTP头的参数没有经过过滤就直接放进了数据库。

而 Request.ServerVariables("REMOTE_ADDR"),Request.ServerVariables("server_name"), Request.ServerVariables("script_name")这三个参数，第一个是连接的IP地址，第二个是server名字，第三个是脚本名字。这三个都不好欺骗。（除了ip地址我还没想到方法欺骗以外，后面两个都是还是可以欺骗的，不过有一定的环境限制，当然这是后话）

但是Request.ServerVariables("Query_String")和Request.ServerVariables("HTTP_REFERER")我们都是可以很轻松的构造我们需要的字符进去。这样，就可以完成欺骗。进行MSSQL注入攻击。

[1] [2] [3] 下一页