如发现有乱码， 请直接从这里浏览原文
正文摘录:

蒙、拐、骗可全部都用上了。这期向大家重点推荐的“动易最新0day注入漏洞来了漏洞全接触”可绝时属于0day哟!动易最新Oday注入漏洞来了大蝉——动易SP6投票模块注入漏洞全接触动易是一款十分优秀的整站系统，其普及率在国内市场上占有绝对的领先地位，相信大家对于动易也是相当熟悉了。和任何一款流行的整站系统一样，动易自出道以来就不断爆出各种各样的安全漏洞。远的不说，近的漏洞就有2006的Region.asP注入黼荆、xxx.asP用户名过滤不严漏洞等，关于这些漏洞大家可以参考以前的黑客x档案。可是自从动易告别开源，封装所有自身组件后，动易组件的漏洞就很少出现了，不过动易组件的封装并没能使其刀枪不入，这次终于还是暴露出了严重的安全漏洞。一、漏洞分析该漏洞最早是在今年8月份被发现的，那时候正好帮一朋友检查网站的设置，灵感闪现后便对Vote·asp文件进行了测试，立马就发现了问题，系统报错。但是由于当时截获的包变量为VoteType。single，使用什么语句都被过滤，我抓破了头皮也没有想出有效的利用方法，后来就放弃了。直到10月初，碰巧得到了一份动易4的代码，那个版本的动易当时还处于开源状态，于是就仔细阅读了动易4中vote.asp文件的源代码。这动易sP6投票模块注入一看不要紧，立刻有了新发现.当VoteType变量不等于single的时候情况有所转变。虽然限制依然存在t但是并不严格，具体语句如下：UpdatePE—Voteseten—sw·r”＆VoteOption&’’=8nswer”&VoteOption&·-+1whereID=”&ID。其中Voteoption过滤的不彻底，可以被利用!正常情况下Voteoption变量应该为数字，代表answer的标号，但是如果进行恶意构造，比如“VoteOption=l=卜一”，那么带入的语句就是UpdatePEVotesetanswerl=1一一，匕一”之后的语句都会被注释掉，这样就可以实现更改数据库的目的了·在实际情况中，“一”会被过滤，但是因为过滤词语的先后问题：如果在。一”之间加上一个“／”，变成“一／一”，就可以使“一／一”不被过滤掉，而中间的“／”在之后被去除了.也就顺利实现了我们的目的。分析到这儿，大家都明白这个注入漏洞的原理了吧，准备磨刀七阵了?还不行，因为这里是UPdate语句，所以使用Access数据库的动易系统并不容易受到攻击，而且系统过滤了“(”、“)”、…、“一、“t”、“＜”、“＞”等等若干字符，所以只能使用UPdate语句攻击SQL版的系统(小编注：也就是只针对sQL版的才有效)，什么?失望了?别急嘛，这个漏洞还是很有搞头的，且听我慢慢道来。虽然可以利用的注入语句只有uPdate，但是这个update却很管用，可以更改数据库里的一切数据，既然可以完整的操作数据库，那么拿到Webshell也就不是什么难事了。我的思路是这样的：提权，拥有在频道上传的权限后更改数据库里的上传路径，然后直接把rar格式的小马传到XXX.asp目录下，这样rar木马就以asp格式执行了(小编注：这个也是利用了IIS6·0的硬伤，有一定的局限性)。二、实战演示光说不练是个空把式，我们以一个SQL版的动易网站来做演示，给大家详细介绍一下这个漏洞的利用方法。首先找到一个动易系统，找到后使用我编写的“蝉之刃注人工具”来检测一下该系统是否存在漏洞，如图l。从柏圮软起钆微藏_的的卜限偷p无偷.洞都n漏后六向洞f一漏三连T.就现容，发内光家的曝大彩被是精洞还上漏，献的7奉大飘们重漏子幺有又什没为有，嘴麓一嚣m黼薯风是扒装种上。，网多知，许岛闻了得时调不段低就一年逮近几，最前『比玩