一直想找個穩(wěn)定的程序建立一個網(wǎng)站，來到了源碼之家，看到一個叫“思維(CMSware)內(nèi)容管理系”的程序，PHP MYSQL搭建的，看起來還不錯。就來到了官方看看程序怎么樣。

官方地址：http://www.lonmo.com/，新聞中心那里有一個鏈接“思維內(nèi)容管理系統(tǒng)(CMSware 2.8.1203免費版發(fā)布及演示 “進去看看，是論壇里面關(guān)于程序的介紹。介紹內(nèi)容如下：

在線演示版地址：（請不要刪改數(shù)據(jù)）

預(yù)覽前臺：http://demo.cmsware.com/28/

預(yù)覽后臺：http://demo.cmsware.com/28/cmsware/

在線演示后臺用戶名：demo

在線演示后臺密碼： demo

先聲明：一切都是無意中的，絕對沒有故意檢測。

按照說明進入了后臺，看了下，如圖1



圖1

看起來功能還真的很強大，就各個功能都看一下吧。作為演示版，后臺許多功能肯定限制了，不限制的話，早被K了，本人也想看看作者都限制了些什么。下面就按檢測的步驟來敘述本文。找了各種有關(guān)編輯的選項，模版管理這里也許會有問題，進去隨便找了個目錄，如圖2



圖2

對應(yīng)的文件后面有“編輯“這個選項，但是鏈接交互這個效果沒有，還以為只是擺設(shè)呢，點一下是可以編輯的，點”編輯“彈出一個窗口。




圖3

選擇結(jié)點，不太明白是什么意思，直接選擇站點根目錄了，點“確定“，又彈出一個小窗口，再“確定”，

又彈出如下窗口



圖4

看來可以編輯，也不一定，也許“寫入“這種權(quán)限沒有。嘗試了幾個目錄，有的可以寫。官方演示程序的地址是：http://demo.cmsware.com/28/，而進入的后地址如下：





圖5

發(fā)現(xiàn)無論點什么，后臺地址都不變化，看來是在框架結(jié)構(gòu)下，直接鼠標(biāo)右鍵，屬性，看到了后臺真實地址，

http://demo.cmsware.com/28/cmsware/admin/admin_tpl.php?op=sId::d41578dab35eb07e6f19da9bddeb4eb1;o::list;PATH::/dynamic

在另一個網(wǎng)頁里面打開，看到最后面PATH后面的就是路徑了，看來可以借助這個來瀏覽站點內(nèi)的文件了，嘗試一下，把/dynamic換成 ../ 發(fā)現(xiàn)可以瀏覽上級目錄，在換成../../../可以向上繼續(xù)瀏覽，甚至看到了整個盤內(nèi)的目錄，如下



圖6
最上級能看到上面那里，這個根本不是站點了，而是，某個盤下的文件了。在某個文件夾下看到了整個服務(wù)器上放置的站點。



圖7

看來到這里，已經(jīng)暴露出許多問題了，演示的后臺應(yīng)該限制掉這些，或者說某些權(quán)限設(shè)置的不到位。一些不應(yīng)該被看到的被看到了，已經(jīng)出現(xiàn)安全問題了。我們上面說模版編輯那里一些目錄下是可寫的。新建只能保存.html結(jié)尾的文件，PHP的根本不行，如果可以，那么這個過程就簡單了。開始是這樣構(gòu)造的，嘗試用一句話PHP木馬來搞定，既然可以保存為.html原則上是可以利用的，把下面的代碼保存為3.php?test=../q.html，服務(wù)器會解析成PHP執(zhí)行的大概。

保存的時候發(fā)現(xiàn)建立了一個名為3.php?test=..的文件夾在其下面生成了q.html，看來不行，“/“會為任務(wù)是路徑，把”/”換成/，這個是轉(zhuǎn)碼，保存成功，如圖8



圖8

之后把一句話木馬保存為q.html，找到路徑在IE中訪問，失??！為什么我也不明白，可以肯定的是在我保存的目錄中是可以執(zhí)行PHP，在windows服務(wù)器上是不允許文件名中帶?的，這個應(yīng)該是LINUX的明明看到了文件在服務(wù)器上了。已經(jīng)成功的寫進去了，不能被執(zhí)行。文件判斷是在服務(wù)器上的，如果是windows2003配置的更好辦了可以象動易利用那樣直接編輯保存模版為aa.php/1.html會自動建立一個aa.php文件夾，然后內(nèi)容保存在1.html中，aa.php會被解析，可是似乎不是我們所說的?？磥磉@個嘗試到此為止了。

用模版編輯嘗試編輯幾個PHP結(jié)尾的文件，似乎都沒有權(quán)限，目錄很多，嘗試了一些一般情況認(rèn)為可寫的目錄也失敗了。

看來到了絕路了，但是當(dāng)走入絕路的時候往往會出現(xiàn)轉(zhuǎn)機，當(dāng)我雙擊一個PHP文件的時候，彈出了一個窗口如下



圖9

亂碼？？似乎不是，象是PHP源文件，鼠標(biāo)右鍵查看源代碼，如下：



圖10

暴出了PHP源代碼！??！，幾乎所有目錄下的都可以這樣查看，好了，幾乎拿下了，我們看看這個服務(wù)器上放的都是什么站，找個簡單的站直接拿到數(shù)據(jù)庫連接密碼，登陸PHPMYADMIN，拿到MD5密碼，爆破，幾乎就崩潰掉。按照這個思路繼續(xù)。圖5那里有個www.youthad.net/這個站進去看了一下是WP的BLOG，簡單了



圖11
有個wp-config.php按照上面的方法直接暴出了PHP代碼，找到了MYSQL連接用戶和密碼，



圖12

是本地連接的，在它的上一層目錄找到了PHPMYADMIN的登陸地址，站長已經(jīng)改名了，如果沒有這個遍歷目錄的缺陷，似乎很難再突破下去。登陸PHPMYADMIN，成功登陸



圖13

左邊有個wp_user點擊下，看到右面的user_login里面是用戶名，user_pass里面是MD5保存的密碼，一共有四個，放在xmd5.cn里跑出來了一個，恰好是admin的密碼，很簡單六個數(shù)字。之后用跑出的密碼登陸作者的BLOG，



圖14

成功登陸，之后就是WP的后臺拿WEBSHELL了，很簡單有文件編輯功能。



圖15



圖16

在目錄里選一個不常用的文件來編輯，填寫在編輯文件前面的文本框里，我在網(wǎng)上找了個國外的PHP木馬，寫入成功



圖17

一個國外的PHPSHELL。查看了下是UNIX服務(wù)器。提權(quán)不做了，未必能成功，繼續(xù)做，目的也不明確了。最后在查看一次目錄的時候發(fā)現(xiàn)有個config.php居然可以讀取，不知道可不可寫，估計可以，這個文件的屬性應(yīng)該是777的。我沒有測試，要是可寫，這個過程更簡單了，那么也更可怕了。



圖18

總結(jié)：一個小小磁盤遍歷的程序錯誤可以攻陷一個網(wǎng)站甚至是服務(wù)器安全，筆者在發(fā)稿前已經(jīng)E-MAIL通知思維官方，其實千里之堤毀于蟻穴，不僅僅是思維的管理員要注意，希望所有的管理員都注意。

最新評論