● 翔浩论坛等多个基于ASP的论坛存在严重安全问题 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Security
标  题: 翔浩论坛等多个基于ASP的论坛存在严重安全问题
发信站: 荔园晨风BBS站 (Sat Apr 13 21:22:06 2002), 转信

　　翔浩论坛等多个基于ASP的论坛存在严重安全问题发现者：tombkeeper@whitecell
.org 主页：http://www.whitecell.org 描述：翔浩论坛即Xhsoft BBS 3000（翔浩网
络技术，http://www.xhsoft.net/）、ASP银河空间论坛（ASP 银河空间，http://www
.asp50.com/）、WormCN Forums 3000 II（网虫中国资讯网，http://www.wormcn.net
/）是国内较流行的三个基于ASP的BBS，界面类似于LB5000。发现其中多个文件存在安
全问题，可暴露WEB绝对路径、上传任意文件等。详细：上述三个论坛的主程序基本是
相同的，也都存在同样的问题。在写这份漏洞报告之前我去了上面三个主页，下载了最
新版本的论坛，并在他们自己的主页上使用的论坛中作了测试，问题都是存在的。鉴于
这几个程序在国内使用之广，我不可能一一通知他们的管理员。希望看这份报告的人本
着一个正义网民的心态，帮助我们通知这些管理员，并将本文发送给他们；而不要使用
本文提到的技术去入侵，这是触犯法律的行为。至少有以下文件存在明显安全问题：
1、 bbs/readme.asp：仅用以下语句限制了扩展名，并未过滤“..”，也无其他安全限
制。 rfile = request.querystring("readme") & ".txt" 可显示本机甚至内网上（使
用UNC路径）的任何文本文件。 bbs/readme.asp?readme=../../../foo.txt 2、 bbs/t
ools/whereami.asp：用如下语句返回当前目录绝对路径： Request.ServerVariables(
"PATH_TRANSLATED") 3、 bbs/tools/http_asp.asp：程序使用了LWP::Simple模块，是
用来访问URL的，所以可能被用来访问IP 受限制的本机或内网URL。但此程序在测试时
并不能正常运行，而且主机上必须安装perl，故对安全的影响不能完全肯定。关于LWP
::Simple 的用法，可以这样测试： perl -MLWP::Simple -e "getprint 'http://www
.whitecell.org';" 4、 bbs/admin_upload.asp 和 bbs/admin_uploadengine.asp：本
来是设计用于方便管理员上传文件的，但并无身分认证措施。仅在与bbs/admin_uploa
d.asp交互时，限制仅管理员才有选择文件目录的界面，但bbs/admin_uploadengine.a
sp中并无任何限制，所以这种限制是可以被绕过的，加上没有过滤“..”，所以可以上
ASCII 文件到任何有权有权限的目录。因为没有使用组件，故只能是ASCII文件。测试
：
    上传文件：
存放目录：
入侵者可以上传自己的ASP脚本，通过使用Wscript.Shell.Run、FileSystemObject等对
象运行系统程序，读取、删除文件等。 4、 admin_poll.asp等管理程序也存在无身份
认证问题，入侵者可以利用这些干扰论坛的正常运行。 5、 bbs/pop_upload.asp：用
于论坛用户上传文件，限制了扩展名。但无身份认证措施。用户不必登录也可向论坛上
传送文件。解决方案： 1、对于bbs/tools/whereami.asp、bbs/readme.asp、bbs/to
ols/http_asp.asp这些并没什么用的程序可以删除或改为其他名字。 2、对于bbs/ad
min_upload.asp 和 bbs/admin_uploadengine.asp等管理程序如果不需要使用可以删除
，如果需要可自行修改。在程序前加一行：其中"15916941253"最好改为其它数字，例
如改为：并将其余的管理程序中的“15916941253”也改为相同的数字。注意：admin_
login.asp 中的：也要改，否则无法使用任何管理程序。 3、作如下权限设置：删除
IWAM_MachineName 对所有目录的写权限，对WEB目录则完全不给任何权限，仅给予对数
据库文件的读写权。给予IUSR_MachineName对WEB 目录读权限及对数据库文件的读写权
。如需使用上传功能，则给予IUSR_MachineName存放上传文件的文件夹的读写权。这个
权限设置对其他论坛或聊天室之类也适用。 4、如有可能，与软件维护者联系。 5、
避免数据库文件被下载的方法：这些论坛都提供了MySql和MSSql的连接方式，如有可能
尽量使用Sql的连接方式。如果一定要用，可以这样：打开internet 信息服务管理器，
选中数据库文件，单击右键，点“属性”，在“文件”页取消“读取”选项。当然还可
以在“文件安全性”页通过限制允许访问的IP等来保护数据库。这一点与本文提到的几
个安全问题并无联系，但也是一个重要的安全问题。其他论坛或聊天室也适用此方法。
补充：这三个论坛的前身是Snitz Forums 2000 Version 3.1 SR4（http://forum.sn
itz.com）。最先是网虫中国资讯网汉化为WormCN Forums 3000 II，后又被ASP银河空
间和翔浩网络技术改进。其实网上还有很多其他类似版本，如彬飞家园论坛（http://
www.13148.com）等，基本都是在WormCN Forums 3000 II 的基础上修改的，也都存在
类似问题。我下载了原始版本的Snitz Forums 2000 Version 3.1 SR4 和 Snitz Foru
ms 的其他版本，却并没发现存在上面所说的安全问题，Snitz Forums 自己的论坛（h
ttp://forum.snitz.com/forum/）也没有这些问题。但我测试了国外很多使用Snitz F
orums的论坛——包括意大利、德国等——却是存在这些问题的，显然这些程序并非汉
化作者加上去的。其实这些安全问题并不牵涉到什么高深的技术，也不难发现。而我在
网上简单的搜索了一下，发现仅国内就至少有上千台机器在运行这些程序，包括一些“
黑客论坛”。在测试的三十多个中无一对此问题做出了解决。当你拿到一个“免费”程
序要放到服务器上运行的时候，真的那么放心么？关于whitecell.org 一个非营利性
安全组织，致力于网络安全技术的研究，其成员来自全国各大安全公司。

--

       \_\/                       .-==/~\
      ___/_,__,_ __ ____ ____ __)/   /{~}}
      ---,---,------------------,\'-' {{~}
                                  '-==\}/

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.33.42]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店