其实没有那么难！飞天论坛漏洞利用速成

2008-02-23 06:46:53来源：互联网阅读 ()

　　漏洞简述

　　飞天论坛最新版由于对Cookies提交的数据缺乏验证而导致前台可以欺骗任何用户的漏洞，而后台也是Cookies验证不足导致非法用户访问后台相关功能页面的漏洞。上面这东西有点抽象，也不打算讲太多关于Cookies的理论，直接看下文吧。

　　漏洞利用

　　首先去找个飞天论坛，我这里直接拿最新版代码测试，注册一个用户hahaha，要注意的就是注册的时候用户名长度限制只能3到6位。注册后就直接成功登录了，这个时候打开查看Cookies的小工具iecv就可以看到一些Cookies信息，在前台我们只要改一下name的值就可以欺骗成任何用户了，可以以别人的名义发贴，甚至可以改别人的密码呵呵。飞天论坛的老大ftbbs，不好意思啦，又拿你开刀，有点过意不去，如图1:

　　点击修改Cookie确定保存后，再重新打开该站点，你就发现你变成了ftbbs，可以以他的名义发贴子，但是不能进行置顶等一系列操作哦，因为这个时候你还不是版主，判断版主是Cookies中的bz的值是否为1，为1则为版主，这里只改了name当然不是版主，自然而然就没有这些权限啦。上面的都很无聊，我们来点实用的，去改管理员密码，然后进后台看能否拿下目标网站。去个人资料那里，如图2:

　　可以看到可以直接修改密码，不要验证原来的密码的，汗死!那我们改他的密码得了，两次输入密码且小于8位就可以了，我们改为123456提交保存后返回提示修改个人信息成功的对框就说明成功了。到目前为止我们已经成功修改了管理员密码，现在我们要用这个账号密码去登录后台，进去后看到画面如下图3:

　　左边有上传图片相关的功能，比如设置上传图片类型，我们加个asp吧，如图4:

　　然后我们清理一下缓存，否则前台还是不允许我们上传asp文件的，因为缓存没有更新嘛，我们帮它更新一下，如图5:

　　清除缓存之后我们就可以去前台发个贴上传个图片或者去回复别人的贴子上传个asp木马文件，点提交后就回复或发表成功了，回到刚才的贴子就可以看到一个红叉的图片，就是刚才你传的asp马啦，右击属性就可以看到真实的地址，如图6，把上面的地址复制到地址栏就可以访问我们的后门了，就这样轻而易举得到一个webshell，如图7:

　　接下来要做什么，就看你了，记得清理自己的痕迹哦，比如发贴、回复、注册的用户等等。

　　漏洞修补

　　上面说了产生漏洞的原因是因为用了Cookies验证，因为Cookies文件保存在本地，我们伪造，所以不安全。对于这类漏洞，最好加上Session验证，其实这个系统在登录的时候也赋了Session值的，在后台验证管理员文件check_master.asp改一下即可，代码如下:

　　if(session("bbsadmin")<>1) then
　　response.write " "
　　response.end
　　end if

　　另外，如果一定要用Cookies判断，最好限制一下站外提交，写代码的时候判断一下HTTP_REFERER就好，如下代码仅供参考:

　　<%
　　Dim server_v1,server_v2
　　server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
　　server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
　　if mid(server_v1,8,len(server_v2))<>server_v2 then
　　response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
　　response.write "<tr><td style=font:9pt Verdana>"
　　response.write "<center>你提交的路径有误，禁止从站点外部提交数据!</center>"
　　response.write "</td></tr></table></center>"
　　response.end
　　end if
　　%>