关于最近，S8S8等一些网络安全的论坛被黑的原因

/ns/ld/softld/data/20011102235446.htm

Ikonboard 存在Cookie 变量未过滤漏洞
原创：chenjun（chenjun）
来源：http://www.netguard.com.cn/

发布信息
--------

发现日期： 2001年09月03日
发布日期： 2001年11月03日
发 现 者： By NetGuard Security Team
Chen Jun (chenjun@netguard.com.cn)
主 页： http://www.netguard.com.cn


简单描述
--------

<http://www.Ikonboard.com/> Ikonboard 是在网上一个非常流行的WEB方式的BBS系统。
论坛程序存在严重漏洞，任何人都可以利用此漏洞获得BBS系统的管理员权限，结合系统环境，可能进一步获得服务器的shell访问权限，甚至是主机的管理员权限。


受影响的软件版本和平台
----------------------

受影响的软件版本: Ikonboard ib219及其以下的版本
受影响的操作系统: Windows,Linux, Solaris sparc, Solaris x86, AIX, HP, Digital, IRIX, SCO etc.


细节
----
File:Search.cgi
---[L.55-56]---
$inmembername = cookie("amembernamecookie");
$filename = $inmembername;
---
As we can see, $inmembername is the get for cookie 'amembernamecookie'
---[L.66-]---
$searchfilename = "$ikondir" . "search/$filename";
---
---[L.124-131]---
open (SEARCH, ">$searchfilename") or die "Cannot save to the search folder";
print SEARCH "$CUR_TIME\n";
print SEARCH "$SEARCH_STRING\n";
print SEARCH "$TYPE_OF_SEARCH\n";
print SEARCH "$REFINE_SEARCH\n";
print SEARCH "$FORUMS_TO_SEARCH\n";
close (SEARCH);
---
---
Well, it sets the file, runs it through the filter and opens it.
-> $cookie("amembernamecookie");, remember?!

在此段代码中，变量$filename也就是从Cookie所得的amembernamecookie没有对".."进行过滤，攻击者可以通过伪造cookie("amembernamecookie")在系统上任何可写的目录中创建或修改文件，而且写入文件的变量也未做任何过滤，所以文件的内容也可由攻击者任意操纵，借此可以获得bbs的管理员权限。

在UNIX类系统中，如果系统安装了PHP，可以通过BBS提供的上传文件功能，上传一个执行shell的PHP脚本，从而获得主机的shell访问权限。

在Windows系统中，鉴于Windows系统执行Perl CGI的特殊机制，可以直接用些漏洞生成一个合法的PERL脚本，即可直接获得在Windows主机上执行命令的能力。

注：


测试程序
--------
鉴于Ikonboard的流行性，攻击方法暂不公布！


临时解决办法
------------
1.Cookie的问题临时解决办法
可以在第56行$filename = $inmembername;之前，加下下面两行
$inmembername =~ s/\///g;
$inmembername =~ s/\.\.//g;
2.建议对写入文件的变量进行过滤


厂商信息
--------

在2001年10月29日通知了厂商
厂商主页: http://www.ikonboard.com


关于Netgaurd
------------

北京华泰网安信息技术有限公司(China Net Security Technology Corporation)是一家专业从事计算机网络与信息安全服务、安全产品研发和销售、安全工程系统集成、计算机网络与信息安全研究、咨询、培训、安全认证等业务的高新技术企业，是国内领先的计算机网络与信息安全解决方案和服务提供商。
版权所有 2001 http://www.netguard.com.cn，欢迎转载，但必须保留版权信息。

发布时间：2001年10月31日10时