网维大师iCafe私人磁盘越权访问漏洞

咀嚼忧伤

文章作者：Aikilis
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注：本文首发Aikilis's Space(作者的Blog)，后由原创作者提交到邪恶八进制信息安全团队，转载请注明。



漏洞名称:网维大师iCafe私人磁盘越权访问漏洞

危险等级:高

漏洞描述:网维大师iCafe是一款网吧管理软件,其中的"私人磁盘"功能允许网吧用户在网吧服务器上建立一个私人文件夹并管理数据.然而由于设计缺陷(文件夹名为用户名，且不过滤特殊字符),攻击者可以通过将一个精心构造的用户名提交给服务器而访问本来没有限权访问的数据,包括其他用户的"私人磁盘"文件夹.

原理:服务器接收到注册的用户名后会以这个用户名为名建立相应用户的"私人磁盘"文件夹.而攻击者则可以通过在文件名中添加特殊字符而访问其他数据.

例子:有一个叫Jimmy的用户申请了私人磁盘,如果攻击者Tom想访问Jimmy的数据,则可以申请一个帐号,用户名为:Tom\..\Jimmy (红色部分).密码随便(这里用Kidd).那么,Tom便可以用用户名Tom\..\Jimmy,密码Kidd登录私人磁盘,而访问的则是Jimmy的数据.

然而这只是危害较低的一个例子。试想我们构造这样一个用户名:Hacker\..\..\..\..\..\..\..\..\..\..\..\
那么当我们以这个用户名登录时便会访问iCafe的安装盘根目录。而且限权是完全控制。

再想一下，如果Windows和iCafe都安装在C盘。那么我们便可以将后门程序放入开始菜单的启动目录中，当计算机重启时，便会安装我们的后门。

扩展：其实不只是iCafe,市面上大部分有私人磁盘功能的网吧管理系统都存在相似的漏洞。

我曾经就利用这个东西搞到了根目录的控制权，可惜是装在D盘的。不过尽管如此，由于私人磁盘用户密码以明文存放于D盘。
而很多安全意识不强的人竟然用QQ作用户名，而密码就是QQ密码。所以呢…(当然，我并没有更改他们的密码，也没做其他事情。)

以上所述仅仅用于研究，切勿将其用于非法活动。这是对Hacker这个词的侮辱，它已经被一些败类搞得声名狼藉了！