旁注 挑战国内最权威LEADBBS3.14a （1）

　　大家好.我是racle.经常听说LEADBBS比DVBBS体积小，安全性高.尤其是后台管理，让高手都却步.有鉴于此，本人尝试一次攻破LEADBBS权威论坛.并取得WEBSHELL.现在为整个过程写下入侵思路.(由于涉及论坛规模较大，为防止被恶意利用，故隐藏真实地址.)之所以以文本格式写教程，是为了能更好的利于搜索，且观看方便.

　　一次在上网闲过的过程中，发现一个大型的LEADBBS3.14A版本论坛bbs.aaa.com，大约估计，数据库应该超过500MB.还存在一个www.aaa.com/bbs页面.是他的旧论坛，已经被废弃.

　　总发帖量：288194 帖今日帖子：592 帖昨日帖子：930 帖

　　上传附件：5532 个注册用户：31400 人页浏览量：27489177 次

　　(一)下面我们先来尝试默认数据库连接.

　　bbs.aaa.com/bbs/Data/leadbbs.mdb失败.

　　bbs.aaa.com/data/Leadbbs.mdb失败.

　　尝试用minibroser浏览器进行COOKIES欺骗，新注册一个用户名提升至前台，再提升到后台，但是失败告终.COOKIE漏洞已经被补上了.3.14A美化版漏洞，搜索后，不存在.那么尝试寻找bbs.aaa.com/bbs的管理后台页面，失败.看来，管理员已经修改了数据库位置，也修改了管理后台的位置.论坛不允许上传ASP文件.一切似乎都没有希望了...

　　(二)目标转向:www.aaa.com/bbs.尝试:

　　www.aaa.com/bbs/Data/LeadBBS.mdb成功.

　　下载下了www.aaa.com/bbs的数据库，80MB.立刻用辅臣数据库查看器打开，获得管理员密码

　　xiaoguan 密码 dcf5289cea8e6a002542a043d90a53d9

　　daguan 密码 4eb7e8ddf94e7697064d9a43f126f22c

　　zhongguan 密码 c0df7819722c3c453965c01db4d8c9bc

　　MD5全部破译(听说有人用王小云的MD5碰撞算法写出了一个C#破解器，P43.0号称在一天内破解任何一个MD5，不知道是否存在.我是用网页在暴力破的.)立刻用密码登陆www.aaa.com/bbs.登陆成功.可是3个都是总版主管理页面，没有系统权限...郁闷.管理员帐号可能已经不存在了.

　　那么尝试用这3个管理员帐号和密码登陆bbs.aaa.com/bbs.希望密码一样.

　　xiaoguan登陆成功.权限为管理员.可是前台管理却没有把后台管理的连接显示出来.这个管理员没有后台权限..再次郁闷.

　　(三)事情似乎就已经僵持了.PING一下www.aaa.com/bbs，bbs.aaa.com/bbs，不在同一个服务器上.就算拿了www.aaa.com/bbs的权限也没用.放弃www.aaa.com/bbs.

　　忽然灵机一动，查查看bbs.aaa.com/bbs服务器上的其他主机看看.试试跨站，他的网站坚固，看看别人的如何.

　　http://www.webhosting.info.发现有8个主机:

　　1 1.COM

　　2 2.COM

　　3 3.NET

　　4 LEADBBS.COM

　　5 5.NET

　　6 6.COM

　　7 7.NET

　　8 8.NET

　　看到了吧?连权威的LEADBBS.com都在呢..!

　　逐个检查，发现8.com存在注入漏洞，立刻注入，得到ADMIN帐号密码:小样84796321.继续扫描后台，发现存在:www.8.com/admin/login.asp.晕...在管理员名称输入"小样"，密码后，竟然提示名称为"a-z，0-9，各种符号".oh，my god..猜测user表段，得到450个用户名和密码，其中管理员帐号密码却和ADMIN表段的不一样，不可能..他又不是DVBBS，前后台密码不一样...看来注入的表是虚拟的，骗小黑们的..再次沉思...

　　(四)停了一天，接着回到他的管理页面，是个什么创丰的后台，忽然想起有个默认的admin admin，尝试!登陆成功!哈哈哈...进入管理后台，在产品管理页面有个上传图片的地方，立刻把加壳的ASP上传，竟然没有过滤脚本，上传成功了!!!哈哈...根据URL，登陆.

　　www.8.com/upfile/1111.asp

　　欢迎使用ASPRANI的助手..哈哈..

　　(五)URL为:w:WEB/8.com/WEB.改为w:WEB/，显示路径未找到，看来阅读权限被限制了，尝试w:WEB/bbs.aaa.com/WEB，登陆成功...哈哈..进去了!终于拿到了bbs.aaa.com webshell了.而且可以读写哦~看一下目录，这才明白，管理后台和数据库的名字和路径都怪得很...猜到老都猜不出来..

　　(六)好了，现在有LEASBBS的WEBSHELL了，怎么进后台呢?

　　很简单，先去注册一个用户，譬如hacker.然后找到bbssetup.asp(如果被改名了，也不要紧，首页文件Boards.asp（不光这个，很多很多文件里都会有）

　　--------------------------------------------------------------------------------

　　//这个就是啦

　　--------------------------------------------------------------------------------

　　然后把bbssetup.asp修改.打开BBSSetup.asp，找到

　　const DEF_SupervisorUserName = "，Admin，"

　　将Admin替换为您要使用的管理员名字，注意区分大小写，多个管理员以逗号分隔，前后需要加逗号．比如

　　const DEF_SupervisorUserName = "，Admin1，hacker，"

　　如果可以进入后台，在论坛参数设置中也可以更改．

　　除了ＩＰ限制访问外，不管管理员如何限制其它权限（包括未激活），都是可以进入后台的

　　.OK.现在用hacker登陆.(WEBSHELL都有了，后台地址很好找啦.)"你是最高级别管理员".

　　哈哈.....终于征服了完美的LEASBBS网站了~

　　本文攻击性很高..希望大家不要学着进行攻击.同时，我也通知了管理员，请勿再次非法登陆..很危险的..

　　好了，思路教程到此.

　　BY:racle

　　有什么问题可以联系我:cracker_enfr@yahoo.fr