YUZI BBS2000和BBS3000所存在的安全隐患

/ns/ld/softld/data/20010107051036.htm

BBS2000和BBS3000所存在的安全隐患
作者：analysist
网站：红色警戒 http://analysist.diz.nu/

BBS2000和BBS3000是时下非常流行的论坛软件，有很多大中型网站都是用这两个软件来构建它们的论坛
的。不仅如此，同时还有很多的免费论坛提供商也是使用这两个软件。我的论坛也是从一家免费论坛提供商申请的，是BBS2000的版本。也许正是由于它的广泛性引起了我的兴趣，我开始仔细地研究了一下这个论坛，意外地发现它实际上隐藏着一个十分严重的安全隐患，为了进一步研究这个漏洞，我做了进一步的测试，结果又发现了一些问题，同时，我也测试了BBS3000这个新的版本，发现存在着相同的问题。

事情的经过是这样的。我在做我的个人网站时，申请了一个论坛，是BBS2000版本的， 原来是打算提供
一个交流的场所，但是谁知道来的人却寥寥无几，所以有时候我就自己贴几篇文章。有一次，我贴完帖子后意外的发现论坛的上方出现了一个新的菜单（实际上以前也看到过，只是没怎么注意）， 名为analysist的留言本，是为了用户查看留言的，似乎没有什么问题。但是直觉告诉我这里应该有一个用户变量在起作用。
接着，我测试性的回复自己的文章，竟然没有要求输入密码！！！我预感到这中间一定有问题，于是我开始研究起这个软件留在系统中的Cookie来。这个小甜饼位于C:\Documents and Setting\AdministratorLocalSettings\Temporary Internet Files的目录下，名为administrator@bbs2000.txt，打开一看，它的结构是这个样子的：

username
analysist www.lf365.net/bbs2000/
0
1362927616
29457954
3634343712
29384528
*
password
30906766 www.lf365.net/bbs2000/
0
1362927616
29457954
3635143712
29384528
*

通过分析，我们可以看出，这个Cookie分为两部分，即username部分和password部分，*号应该是分割符
或者是结束符，www.lf365.net则是我申请的免费论坛提供商。至于其它的一些杂乱无序的数字，我不知道是做什么用的，如果你知道，请给我发信到analysist@china.com，或者直接在我的论坛上给我留言。还有什么看到了吗？我的用户名和密码竟然是用明文保存的！！！如果你再细心一点， 你会发现这个Cookie的存活时间是一年！如果你不人工去清除它们的话，它们会在你的系统中存在一年！

为了研究这个漏洞，我又继续做。 我先把Cookie中的密码（不是我的真正密码啦，呵呵。。。）改成了
另外的一个密码12345678，刷新论坛，自己回自己的文章，反应好象有点慢哦！：（ 过了一会儿，到了回复文章的界面，同开始一样，没要求我输入密码（其实密码自动以********的形式存在了）。呵呵。。。 好玩了。重新打开Cookie文件，我发现密码改回去了，变成了30906766，就是我的QQ号了。
现在发现什么问题了吗？据我推断，这个过程应该是这样的：用户第一次发文章时， 软件把用户名和密
码以明文的形式存在用户的系统中，当用户第二次发文章时，软件自动从Cookie中获取用户的用户名和密码，但是我觉得这里面还应该有一个到服务器端验证的过程，如果正确自然没问题，但是如果错了呢？ 正如大家上面看到的，服务器会向客户端返回正确的密码，并且存在客户端的系统中。但是有一个前提， 那就是必须个用户在这个客户端上发过文章，下面我就用例子来试验我的这个结论。

实验不是用我的论坛，而是另外的一个论坛，不过都是BBS2000的，而且都是申请的免费论坛。 我想应该差不多吧。我先注册了一个用户，帐号是analysist，密码是1234，发了一篇文章，出现熟悉的analysist的留言本菜单。然后，修改Cookie中的用户名为该论坛的版本的帐号，密码不变，刷新。奇怪的是，还是显示出了analysist的留言本这个菜单，这是怎么回事呢？我清空了除这个Cookie之外的所有缓冲文件，刷新， 还是依旧！：（

我怀疑是这个软件还在其它地方做了标记，但是我懒！：P 所以我没有用Regmon和Filemon来继续跟踪，
如果你有兴趣的话，可以跟踪看看，我的网站上有这两个工具，如果你发现了什么重要的信息，请让我知道，先谢了！然后，我又测试了一下BBS3000，发现存在着类似的问题。

我们知道，这种安全隐患应该是非常严重的，尤其是在一些公共上网的地方，这种危险表现的更为明显。

首先，密码以明文存在本来就是一个安全隐患，更何况这个Cookie的存活时间长达一年！还有，就是那个返回正确密码的问题，也应该算是一个安全的隐患。至于那个替换帐号的问题，如果你好好的研究一下的话，应该也是一个安全的隐患，因为软件既然在系统中做了标记，如果我们找到它，就可以按照我们的要求修改它，再利用那个自动传回正确密码的缺陷，使服务器把正确的密码传给我们，再根据密码明文存在的漏洞，我们是不是很容易拿到管理员的密码呢？论坛的管理员好象经常和网站的管理员是一个人哦！拿到网站的Root权限能做什么呢？好象可以为所欲为了耶！非法访问其中的资源，甚至整个局域网的资源和所有信任主机的资源，当然作为跳板也不错嘛，不过我警告你，千万不要破坏别人的任何东西！！！

呵呵。。。其实以前ChinaRen也存在着类似的问题，输入我们帐号和密码去看信，谁知道却进入了别人的信箱，不止一次，经常的事，现在我不用WWW看信，所以也不知道怎么样了。还有， 我也测试了一下绿萌的论坛，没发现什么问题，不过Cookie的存活期好象也是一年。而看雪的论坛更牛，Cookie的存活期竟然将近十年我想如果系统不自动删除它们的话，呵呵。。。好玩！
以上是我的一些粗浅的看法和认识，如果有什么错误的话，欢迎给我来信指正！：）