WooYun.org

1.Ecshop（简单爆破数据库）：
http://download.ecshop.com/2.7.3/ECShop_V2.7.3_UTF8_release1106.rar
登录Ecshop，进入后台备份数据库，数据库管理——数据库备份。最后发现数据库备份所在的文件夹为：data\sqldata，而这个文件夹允许任何人访问，备份的数据库格式为.sql，可以下载，我们这里备份了三次数据库，分别是：
   20140607qwhgxd.sql、20140607wisgtt.sql、20140607ysaybn.sql
从上面可以刚出最前面的是备份的年月日，后面的则是随机字符串，文件名总共超过9个字符，通过短文件名发现：



可以使用201406~1.sql去访问这个复杂的备份数据，从而我们可以想象，如要要枚举出一年所可能存在的，那么我们可以构造这样的简单字典去跑，根据1年12个月，假设最早的Ecshop从2009年3月开始，到今年有51个月份，我们设定一个月份最多四个访问方法就是上面的。则只有204种可能。如下：
                       200903~1.SQL
		       200903~2.SQL
		       200903~3.SQL
		       200903~4.SQL
		    	  ......
		    	  ......
		        201406~1.SQL
		        201406~2.SQL
		        201406~3.SQL
		        201406~4.SQL
其实呢，根本不需要去枚举204种可能，只要枚举51种可能性，因为如果这个月备份了一个就可以通过“年月~1.SQL”去访问，那么这个月备份的其它的则可以1-4等去访问.
    http://192.168.199.187/ecshop/data/sqldata/201406~1.SQL
    http://192.168.199.187/ecshop/data/sqldata/201406~2.SQL

2.骑士CMS（简单爆破数据库）
http://download.74cms.com/download/74cms_v3.4.20140530.zip
登录骑士CMS后台，备份数据库，获取数据库所在的文件夹为：data\backup，备份的数据库后缀为.sql可下载，我们这里备份了四个分别名字为：
20140607_TQuaq5392bc772d4eb.sql、 20140607_jmTnK5392bc85b63ac.sql
20140607_EGUkn5392bc887ed93.sql、20140607_cUunw5392bc82b2868.sql
  从对备份数据命名格式来说，跟Ecshop很像，也是前面取备份的年月日，后面则是随机数字字符串，从短文件名下去观察：



其实我们已经发现，跟ECSHOP一模一样，所以Ecshop枚举的字典也可以用于74CMS来跑数据库了，这样可以导致数据库泄漏！
  http://192.168.199.187/74/data/backup/201406~1.SQL
  http://192.168.199.187/74/data/backup/201406~2.SQL

3.Cmseasy（简单爆破文件夹）
http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.5_UTF-8_20140605.rar
登录后台备份数据库，Cmseasy的数据库备份存储在data目录下可访问，并且我们会发现备份数据库的时候还会在data目录下生成一个文件夹，然后再存储这个后缀为.sql的备份的数据库。如下：
data/2014-06-07-15-39-NDNmZT/sql-2014-06-07-15-39-NDNmZT-1.sql
data/2014-06-07-15-39-NGUzZD/sql-2014-06-07-15-39-NGUzZD-1.sql
data/2014-06-07-15-39-YWQ5Nz/sql-2014-06-07-15-39-YWQ5Nz-1.sql
data/2014-06-07-15-39-ZTBhY2/sql-2014-06-07-15-39-ZTBhY2-1.sql
  这似乎增加了一点难度，那我们首先来看看这个文件夹如何用短文件名访问：



从上面看如果要确定一年中的文件夹存在的话，那么只要跑2014-0和2014-1这两个文件夹，分别作为四次总共是8个，即：2014-0~1、2014-0~2、2014-0~3、2014-0~4、2014-1~1、2014-1~2、2014-1~3、2014-1~4。其中的0和1代表的是年份，因为10、11、12月份是1开头的，那么这样的总能遍历出一个文件夹，假设从2010年开始到2014年6月总共是“28”个，也就是说文件夹只要枚举28种可能性，如果存在返回状态码403。然后我们就开始枚举数据库名字了吗？不不不！因为每个文件夹中只存一个数据库！通过短文件名方式我们会发现，数据库其实就是可以直接使用SQL-20~1.SQL来访问。如下图：





那么也就是说我们其实只要枚举文件夹的可能性就足够了，对吧！

4.PHPWind（直接获取备份数据库）
http://nt.phpwind.com/tj.php?id=913&verify=d73f768d141400cdc589312fbb9fb1a5&sign=pw9gbkzip&type=click
  Phpwind的备份数据库也存在和CMSeasy一样的基于一个随机文件夹中，但是对于命名存在一定规律性，导致可以直接获取数据库。进入后台备份一下数据库，看看所存在的文件名称是怎样的：
  	   pw_9-0_20140607201943_ma9Oa、pw_9-0_20140607201953_aXYP9
          pw_9-0_20140607202000_cPg21、pw_9-0_20140607202013_hvOi0
看一下似乎非常的复杂，但其实并不是，这个要害部位就在于最前面的字符串是有规律的，仔细一看pw=phpwind，而9-0则是它的版本好，没错我这里下载的就是phpwind9.0版本的。
那我们直接看：



看到了把，只要通过PW_9-0~1---PW_9-0~4就可以访问这四个文件夹，而且无需爆破，直接获取啊，那么我们再进入文件看看，每个文件夹中都躺着一个zip的数据库包。





通过观察，虽然非常复杂但是完全可以通过PW_9-0~1.ZIP的形式去访问该ZIP包，导致根本无需爆破，只要phpwind在windows下并且备份数据库则可以使用这样的形式去获取到数据库：
 	 http://127.0.0.1/data/sqlbackup/PW_9-0~1/PW_9-0~1.ZIP
这样的链接可以直接访问到基于Windows搭建的PHPWind9.0的备份数据库

0x04 总结
   由于乌云上太多CMS厂商了，以上所枚举的仅仅是PHP+Mysql的，那么就有一定的局限性，因为PHP的网站也可能会在Linux等其它环境下搭建就无法通过Windows特有的短文件名方式进行访问了。其实很多ASP、ASPX的CMS全是Windows下搭建的，这样以来，如果没有有效的保护备份的数据库，对备份的数据库名称具有一定规律和简单爆破性，那么可以导致数据库备份直接泄漏，从而危机网站安全。当然在我测试了很多CMS中有部分CMS还是对这方面做的很安全：
比如：
 YouYAX的数据库虽然备份在：ext_public\phpmysqlautobackup\backups目录下，并且备份的数据库为.gz的压缩包，并且很有规律的名字，可以使用“MYSQL2~1.GZ”看到，但当我们访问时候却提示“Forbidden”



再比如说的Destoon：
  通过短文件名访问数据库时候发现虽然前段字符串有规律，但是后段字符串却很难爆破，这样的安全设计是完全可以防止Windows利用短文件名获取数据库。





   其实不然，我们不仅仅可以获取数据库备份信息，还可以获取一些log日志信息，例如泛微OA系统的Log信息可以使用该漏洞进行直接访问，测试过成功率是%99，这里我就不提了。