一直想找個(gè)穩(wěn)定的程序建立一個(gè)網(wǎng)站，來(lái)到了源碼之家，看到一個(gè)叫“思維(CMSware)內(nèi)容管理系”的程序，PHP MYSQL搭建的，看起來(lái)還不錯(cuò)。就來(lái)到了官方看看程序怎么樣。

官方地址：http://www.lonmo.com/，新聞中心那里有一個(gè)鏈接“思維內(nèi)容管理系統(tǒng)(CMSware 2.8.1203免費(fèi)版發(fā)布及演示 “進(jìn)去看看，是論壇里面關(guān)于程序的介紹。介紹內(nèi)容如下：

在線演示版地址：（請(qǐng)不要?jiǎng)h改數(shù)據(jù)）

預(yù)覽前臺(tái)：http://demo.cmsware.com/28/

預(yù)覽后臺(tái)：http://demo.cmsware.com/28/cmsware/

在線演示后臺(tái)用戶名：demo

在線演示后臺(tái)密碼： demo

先聲明：一切都是無(wú)意中的，絕對(duì)沒(méi)有故意檢測(cè)。

按照說(shuō)明進(jìn)入了后臺(tái)，看了下，如圖1



圖1

看起來(lái)功能還真的很強(qiáng)大，就各個(gè)功能都看一下吧。作為演示版，后臺(tái)許多功能肯定限制了，不限制的話，早被K了，本人也想看看作者都限制了些什么。下面就按檢測(cè)的步驟來(lái)敘述本文。找了各種有關(guān)編輯的選項(xiàng)，模版管理這里也許會(huì)有問(wèn)題，進(jìn)去隨便找了個(gè)目錄，如圖2



圖2

對(duì)應(yīng)的文件后面有“編輯“這個(gè)選項(xiàng)，但是鏈接交互這個(gè)效果沒(méi)有，還以為只是擺設(shè)呢，點(diǎn)一下是可以編輯的，點(diǎn)”編輯“彈出一個(gè)窗口。




圖3

選擇結(jié)點(diǎn)，不太明白是什么意思，直接選擇站點(diǎn)根目錄了，點(diǎn)“確定“，又彈出一個(gè)小窗口，再“確定”，

又彈出如下窗口



圖4

看來(lái)可以編輯，也不一定，也許“寫(xiě)入“這種權(quán)限沒(méi)有。嘗試了幾個(gè)目錄，有的可以寫(xiě)。官方演示程序的地址是：http://demo.cmsware.com/28/，而進(jìn)入的后地址如下：





圖5

發(fā)現(xiàn)無(wú)論點(diǎn)什么，后臺(tái)地址都不變化，看來(lái)是在框架結(jié)構(gòu)下，直接鼠標(biāo)右鍵，屬性，看到了后臺(tái)真實(shí)地址，

http://demo.cmsware.com/28/cmsware/admin/admin_tpl.php?op=sId::d41578dab35eb07e6f19da9bddeb4eb1;o::list;PATH::/dynamic

在另一個(gè)網(wǎng)頁(yè)里面打開(kāi)，看到最后面PATH后面的就是路徑了，看來(lái)可以借助這個(gè)來(lái)瀏覽站點(diǎn)內(nèi)的文件了，嘗試一下，把/dynamic換成 ../ 發(fā)現(xiàn)可以瀏覽上級(jí)目錄，在換成../../../可以向上繼續(xù)瀏覽，甚至看到了整個(gè)盤(pán)內(nèi)的目錄，如下



圖6
最上級(jí)能看到上面那里，這個(gè)根本不是站點(diǎn)了，而是，某個(gè)盤(pán)下的文件了。在某個(gè)文件夾下看到了整個(gè)服務(wù)器上放置的站點(diǎn)。



圖7

看來(lái)到這里，已經(jīng)暴露出許多問(wèn)題了，演示的后臺(tái)應(yīng)該限制掉這些，或者說(shuō)某些權(quán)限設(shè)置的不到位。一些不應(yīng)該被看到的被看到了，已經(jīng)出現(xiàn)安全問(wèn)題了。我們上面說(shuō)模版編輯那里一些目錄下是可寫(xiě)的。新建只能保存.html結(jié)尾的文件，PHP的根本不行，如果可以，那么這個(gè)過(guò)程就簡(jiǎn)單了。開(kāi)始是這樣構(gòu)造的，嘗試用一句話PHP木馬來(lái)搞定，既然可以保存為.html原則上是可以利用的，把下面的代碼保存為3.php?test=../q.html，服務(wù)器會(huì)解析成PHP執(zhí)行的大概。

保存的時(shí)候發(fā)現(xiàn)建立了一個(gè)名為3.php?test=..的文件夾在其下面生成了q.html，看來(lái)不行，“/“會(huì)為任務(wù)是路徑，把”/”換成/，這個(gè)是轉(zhuǎn)碼，保存成功，如圖8



圖8

之后把一句話木馬保存為q.html，找到路徑在IE中訪問(wèn)，失??！為什么我也不明白，可以肯定的是在我保存的目錄中是可以執(zhí)行PHP，在windows服務(wù)器上是不允許文件名中帶?的，這個(gè)應(yīng)該是LINUX的明明看到了文件在服務(wù)器上了。已經(jīng)成功的寫(xiě)進(jìn)去了，不能被執(zhí)行。文件判斷是在服務(wù)器上的，如果是windows2003配置的更好辦了可以象動(dòng)易利用那樣直接編輯保存模版為aa.php/1.html會(huì)自動(dòng)建立一個(gè)aa.php文件夾，然后內(nèi)容保存在1.html中，aa.php會(huì)被解析，可是似乎不是我們所說(shuō)的?？磥?lái)這個(gè)嘗試到此為止了。

用模版編輯嘗試編輯幾個(gè)PHP結(jié)尾的文件，似乎都沒(méi)有權(quán)限，目錄很多，嘗試了一些一般情況認(rèn)為可寫(xiě)的目錄也失敗了。

看來(lái)到了絕路了，但是當(dāng)走入絕路的時(shí)候往往會(huì)出現(xiàn)轉(zhuǎn)機(jī)，當(dāng)我雙擊一個(gè)PHP文件的時(shí)候，彈出了一個(gè)窗口如下



圖9

亂碼？？似乎不是，象是PHP源文件，鼠標(biāo)右鍵查看源代碼，如下：



圖10

暴出了PHP源代碼?。?！，幾乎所有目錄下的都可以這樣查看，好了，幾乎拿下了，我們看看這個(gè)服務(wù)器上放的都是什么站，找個(gè)簡(jiǎn)單的站直接拿到數(shù)據(jù)庫(kù)連接密碼，登陸PHPMYADMIN，拿到MD5密碼，爆破，幾乎就崩潰掉。按照這個(gè)思路繼續(xù)。圖5那里有個(gè)www.youthad.net/這個(gè)站進(jìn)去看了一下是WP的BLOG，簡(jiǎn)單了



圖11
有個(gè)wp-config.php按照上面的方法直接暴出了PHP代碼，找到了MYSQL連接用戶和密碼，



圖12

是本地連接的，在它的上一層目錄找到了PHPMYADMIN的登陸地址，站長(zhǎng)已經(jīng)改名了，如果沒(méi)有這個(gè)遍歷目錄的缺陷，似乎很難再突破下去。登陸PHPMYADMIN，成功登陸



圖13

左邊有個(gè)wp_user點(diǎn)擊下，看到右面的user_login里面是用戶名，user_pass里面是MD5保存的密碼，一共有四個(gè)，放在xmd5.cn里跑出來(lái)了一個(gè)，恰好是admin的密碼，很簡(jiǎn)單六個(gè)數(shù)字。之后用跑出的密碼登陸作者的BLOG，



圖14

成功登陸，之后就是WP的后臺(tái)拿WEBSHELL了，很簡(jiǎn)單有文件編輯功能。



圖15



圖16

在目錄里選一個(gè)不常用的文件來(lái)編輯，填寫(xiě)在編輯文件前面的文本框里，我在網(wǎng)上找了個(gè)國(guó)外的PHP木馬，寫(xiě)入成功



圖17

一個(gè)國(guó)外的PHPSHELL。查看了下是UNIX服務(wù)器。提權(quán)不做了，未必能成功，繼續(xù)做，目的也不明確了。最后在查看一次目錄的時(shí)候發(fā)現(xiàn)有個(gè)config.php居然可以讀取，不知道可不可寫(xiě)，估計(jì)可以，這個(gè)文件的屬性應(yīng)該是777的。我沒(méi)有測(cè)試，要是可寫(xiě)，這個(gè)過(guò)程更簡(jiǎn)單了，那么也更可怕了。



圖18

總結(jié)：一個(gè)小小磁盤(pán)遍歷的程序錯(cuò)誤可以攻陷一個(gè)網(wǎng)站甚至是服務(wù)器安全，筆者在發(fā)稿前已經(jīng)E-MAIL通知思維官方，其實(shí)千里之堤毀于蟻穴，不僅僅是思維的管理員要注意，希望所有的管理員都注意。

最新評(píng)論