1，发现漏洞

影响版本:

标准版 sql版
企业版 sql版
学校版 sql版
政府版 sql版
全功能版 sql版
免费access 版
所有版本（包括免费版、商业sql版及access版）
不被影响的版本：2005动易assess版
漏洞文件：admin目录下 admin_chkpurview.asp，admin_login.asp，admin_rootclass_menu.asp
      user 目录下 user_message.asp

等级：严重

描述：
此漏洞影响全部sql版，如果用sa连接数据库黑客可以拿到系统管理员权限。如果用普通用户连接最严重情况，可以备份脚本木马。一般情况可能改管理员登陆密码，从而达到黑客登陆动易后台。控制整个动易系统！
access版可以得到管理员md5密码！

主要问题在于 user_message.asp
http://77169.org/user/user_message.asp?action=del&managetype=inbox&messageid=90;

messageid 没有严格过滤，有注入漏洞。只过滤了 单引号， 这就能挡住聪明的黑客吗？
我们来看一下，user_message.asp的源代码、
————————————————————————————————————
<!--#include file="user_commoncode.asp"-->
<%
call pe_execute("pe_admincommon", "user_message")
%>
——————————————————————————————————————

动易系统是不开放源代码的，user_message.asp 源代码的意思就是调用 pe_admincommon.dll 中的 user_message 函数。
有人可能要问了这样的漏洞怎么发现的呢？
像这样的文件 只能用分支测试法 给这个文件用到的全部变量 都测试一遍。这是很耗时的测试方法。

2，分析漏洞
源程序是不开放的，所以源程序没什么好分析的。
现在我们来这漏洞入侵动易2005 sp1系统。
首先分两个版来说
1,sql版，
（1，发现注入点
user_message.asp 文件中的 messageid 没有严格过滤。
测试，加 单引号，
正常返回。如图一

加 ; ，加 --
都显示出错。
如图二：

看提示 就明白有注入点了，加单引号没用，应当是过滤了引号。没关系过滤了单引号 阻挡不了我们入侵的步伐。