开元学校互动平台验证分析报告

2007年5月5日

作者：落叶

 

       开元中学互动平台这次又做出了一个留言板程序，界面清爽，功能较全，然后每个老师都有相应的板块。因为原来的每个类似程序都出过这样那样大大小小的漏洞，所以决定检测一番。

    开始，大概有100多个板块，每个板块模板一致，很奇怪的是板块不是用id数来命名的，而是一个老师的拼音名作为一个目录。纳闷和暗喜中，难道这个还要建立目录的权限？结果发现，不知道谁把同个程序复制了100多遍……佩服之余各处踩踩。

     首先我不想注入，因为ChengBingXuan跟我说，数据库是ACCESS版的，而且密码是经过2次MD5加密的。然后看看'or'=之类的，不行。过滤得很严嘛！不过还是给我发现了个小问题。就是对于用户的验证，这不是程序本身的问题，写程序的谁能想到有人会复制那么多遍的（不过顺便也给咱们以后提个醒……）

    点击每个板块的“查看用户”发现都有一个超级用户，并且是唯一的。然后我随便在一个板块里注册了一个用户名，到其他板块都不用登陆。于是我在其他板块注册了一个另一个板块的超级用户的用户名，再登陆那个板块。结果发现是可以的。就是权限还是普通用户的。至少这里我们已经可以开始欺骗了。在继续深入的过程中发现了个很严重的问题，本来是想抓取Cookie和抓包看看的，结果：

刚刚在玩游戏，电脑卡得很，所以入侵暂停！◎＃￥％……※×

呵呵，就当开个玩笑……哈哈哈哈