文章作者:阿酷
当看到西京大学的站在1个月里被人黑了2次,所以打算看看到底有什么问题!
被黑的页面,见这里:
http://www.zone-h.org/defacements/mirror/id=1428710/
http://www.zone-h.org/defacements/mirror/id=1455648/
本次测试,虽然没有找到被黑的根本原因,主要是因为没有针对服务器进行测试,倒是另外找到一些问题,希望引起广大网管员足够重视!
当我打开西京大学的网站
http://www.xijing.com.cn的时候,我并没有想到他们是使用的免费程序搭建的网站。
1、打开网站后,发现最下面有"管理入口"的链接,呵呵,省得我找了!
2、进入后,就到了
http://www.xijing.com.cn/admin/login.asp页面,看到是"西京大学校方网站管理系统 V2.0 ACCESS版 build 1",呵呵,蛮顺利,告诉我是access版,其实也难说是不是access的,不过我里连接了一下1433,没有连上,虽然不能说明问题,但是我们暂且假定为access,事实也证明它就是access数据库。
3、测试了几个常规的问题,没有发现后台登陆验证有什么问题,那么就去看看其他地方,打开了新闻的链接,测试了一下传输数据,也作了处理,似乎没有什么问题,再回到登陆页。测试一下常见的几个后台页面,如:addnews.asp、edit.asp、adduser.asp等等,主要是测试后台页是否可以不通过验证直接调用,这个也是asp后台低级的漏洞。当我测试到adduser.asp的时候,出来了添加用户的页面。先来添加一个用户看看,我添加了一个test的用户,其实他还有上传头像的功能,但是测试是程序处理失败,没有办法上传。看来注定要好事多磨。
4、在用户添加成功后,会看到属于他的后台页面,后台框架及其他栏目,但是除了可以编辑自己的一些信息外,其他的权限都没有。那么通过正常登陆是什么情况呢?回到登陆页,使用test用户登录,提示管理员未开通,不能登陆。看来作者对权限还是做了比较细致的限制,但是当我们登陆失败后,直接跳到编没畔⒌囊趁鎒dit.asp的时候是可以过去的,而且就是你登陆的这个用户的信息,看来作者在验证登陆后,马上就给了个seesion,然后接着判断了权限。除非你用其他用户正常登陆,否则没有办法构造这个seesion。难道就没有办法了?!
5、还是看看现在有什么能找到的有用信息,整理一下思路。打开test用户的后台,看了几个页都没有什么信息,在关于我们里,也只看到"数学",在google里也没有找到有用信息;最后来看看他的帮助文件吧,在分析它的帮助文件后,感觉不太像是一个内部使用的东西,倒更像是网络上提供的免费后台的样子。从帮助中找了一些比较个性化的东西在google里一搜,发现找到了不止一条记录,这就更肯定了我的判断,它使用的免费后台。
6、在分析了10多条记录后,终于找到了这个后台的名字,"沸腾3AS流浪尘缘新闻系统] V0.45 ACCESS版",在k666.com里下载了一份,地址:
http://down.vv66.com/soft/29244.htm
由于对免费系统用的不多,我还是费了一些时间在这个上的。
还是先分析一下数据库,在admin/data目录,是以news30000.asp命名的文件,根据前面对shixunchu的判断,第一反应就是用flashget下载,结果很让人失望,而这时也已经是凌晨了,难道就这样结束了?还是要我分析更多的程序?有点不太想继续了,因为第二天还有一天的课要讲。失望中,使用news30000.mdb试了一下,结果居然能下载,不能说不是运气好,说句实话,有时候还是要靠一些运气的,其实我的运气是相当不错的。我在下载的包里看到了作者对access防下载的建议,如果管理员按照建议来作,也许我的入侵测试也就在此草草收场了,而作者提供的默认的asp库文件也是经过处理的,也就是说,如果不是xijing.com.cn的管理员把后缀改成了mdb,我是没有办法下载到库文件的。
7、下载库文件后,打开,发现有很多用户,但只有一个用户是super权限,其他的权限都很低,而这些用户的密码是使用md5加密的16位,后面倒是有密码问题和答案,但是答案也是使用md5加密的。把密码和问题答案拷贝到txt文件,使用md5爆破,我这里破密码,无言兄弟那里破问题答案,很快就拿到了很多用户的密码,但是作为super的xijing用户,我还是始终没有拿到,看来管理员应该是加了强口令的,因为其他用户权限太低,所以现在就专攻xijing用户,在我这里跑8位下的字母,旁边的机器上跑8位以下数字,也就在我这里刚刚开始的时候,无言老弟那里传来好消息,xijing的密码答案被爆出来了,是5位数字,于是赶紧找后台找密码的页面,可能是因为困了,我真的没找到找回密码的页面,失败!看着2台机器还在那里跑着密码,也不知道最终结果会是什么,刚好这会比较清闲,就手工测试一些长的口令吧。开个md5生成器,输入用户名后就随便挑了一些可能的变化,都不正确,这是我突然想起了刚刚爆出来的那个问题答案,会不会是用户名加密码答案呢,呵呵!别说我运气好,还让我给猜中了!就是用户名xijing加那个5位数字,到这里,我才感觉很多时候黑客是要凭借不错的运气的,要不用爆破,还不知道得到什么时候了!
8、拿到后台用户密码,登陆进去后,看看了自己的权限,可以对栏目和新闻操作,还可以添加用户,不过不能添加super级的,也容易被网管发现,没这个必要,而用户上传头像的页已经测试程序错误,就来看看新闻里有没有上传权限,还好!是有上传权限,但是有后缀限制,返回环境设置,增加asp后缀,再来上传,居然报错!返回检查一下,没有错误啊!来分析一下程序,呵呵!作者好狠!居然在上传程序中加了对asp和aspx的过滤,看来直接上传asp文件是不行了,倒是可以考虑使用乔客论坛上传漏洞的方法传递,或者上传个exe文件什么的,最后觉得没有测试的必要了,也就放弃了。
Click to Open in New Window
Click to Open in New Window
9、在给环境里加了他们被黑的链接后,修改了首页的title,就退出了,只是想让网管在好好检查一下自己的安全情况。
综上所述,安全是一个完整的体系,即使一点点地疏忽,一点点地信息暴露都可能给自己带来麻烦,希望我们做网管的不断提升自己的技术素养,从而提升我国的安全状况,谢谢!你们做得越安全,中国黑客也就越有面子!
如果各管理员需要技术上的支持,阿酷责无旁贷!如果我公布的技术给您带来了麻烦,我只能表示抱歉了,即使我不公布,也会有人发现并利用这些漏洞的,不是吗?!
