动网论坛到目前为止是国内使用较多的一种论坛,到现在已经发展了好几个版本和一些补丁程序,对于最早的dvbbs6.0可以说是漏洞百出,虽然现在动网论坛的官方对早期的6.0版本进行了加强改进,基本杜绝了一些早期的漏洞,在6.0的发帖处的上传已经被设置为每天上传0个,这样的话只要把头像处的上传给去掉,就可以从根本上杜绝了上传漏洞了(也能杜绝备份数据挂马哦),从这一点来看,现在官方所提供的6.0版本已经进行了一些加强,对于这个版本的其他几个漏洞我没测试过,估计应该现在也行不通了.现在使用较广的7.0版本以及他的几个sp补丁和最新出的7.1版本在安全性上都有了很大的改变,但在进入后台后通过备份数据库的挂马方法却还依然没有找到好的办法解决,今天我想和大家谈的就是dvbbs6.0版本所存在的一个设计缺陷,导致还可以用另外一种方法挂马.
在dvbbs6.0中存在一个名为初始信息设置的功能模块,方便用户直接在后台更改论坛的注册条款,而作者在设计这个功能版块的时候,却留下了一个缺陷.首先我们知道我们进行注册的页面为http://****/bbs/reg.asp, 这说明注册条款由reg.asp这个文件控制,我打开这个文件看里面是怎么实现修改注册条款的,在这个文件中有这样一段代码:
其中这一句不是一个调用语句(这个语句真是个好东西哦,还可以用来留隐藏后门,呵呵)吗,他的注册条款全部来自reg_txt.asp这个文件,然后通过调用在reg.asp里面显示.前面说后台不是有个初始信息设置的功能模块可以修改注册条款吗,莫非那里的输入的部分全保存在了reg_txt.asp里面,而这个又是个单独的页面,如果我们把我们的木马写进去启不是可以执行我们的木马.进入后台发现他果然把注册条款保存到了reg_txt.asp里,
现在我们就把里面的原有的条款复制下来,保存到记事本里(等挂完马后还要恢复原貌,别被人发现了,呵呵),现在把木马内容写进去,看看能不能访问正常.我们访问http://****/bbs/reg_txt.asp这个页面看看,呵呵,马儿出现了,同时也说明了dvbbs6.0版本在设计reg.asp这个页面时的一个设计缺陷,导致进入后台能通过修改注册条款挂马.
也许是设计者发现了这个设计缺陷,在dvbbs6.0后的版本已经弥补了这个页面的设计缺陷,所以在6.0后的版本不能通过这种方式挂马,不然的话这将是一种比备份数据库更简单实用的方法了.说到这,我还想说其实备份数据库挂马还是有办法避免的,备份数据库挂马不是要把jpg格式的木马传上去吗,那我们只要删除所有的上传页面,那样的话他想备份数据库都没办法了,还有种方法好象在一篇讲跨站攻击的文章里说过可以添加用检验图片的真实性的代码来预防图片跨站攻击,同样这段代码也能防止备份数据库挂马,这是最完美的方法,这段代码可以防止很多漏洞的,现在只有期待哪位牛人早点写出这段代码了.
在随后我还发现了一些整站程序也存在这个设计缺陷,但有部分站点却对注册条款处理的很好,特别是一些购物系统.说这些的目的是想告诉大家,大家在入侵的过程要多注意观察各个整站之间存在的类似性,不要他说是针对哪套程序你就只局限那套程序,要学会发散思维的思考问题,还有就是多看代码,他会给你带来意想不到的结果的.此文没有没什么大的利用价值,只是把一个不被人注意的一个设计缺陷谈了一下.