[转载]西路整站程序 存在漏洞 可导致后台权限丧失

信息来源:特络纳

我在分析xijing.com.cn的时候，来到了http://www.xijing.com.cn/shixunchu/，打开以后，看结构估计是使用的通用asp后台，于是在google里搜索了一些特征后，确定是"西路整站程序"，在k666.com下载了一个"西路整站程序加强版"，位置：
http://down.vv66.com/soft/25006.htm
首先，分析数据库，打开目录，进入database，看到文件如图：

Click to Open in New Window

包括了一些mdb的库，还有一个.asp的文件，根据常识，判断它应该是个数据库文件（其实分析一下后台登陆页面，也就知道了！），改名为mdb打开后，看到了admin表，密码和用户是以明文方式存储了。
在本地开了站，使用flashget可以下载到这个asp文件，说明作者当时并没有针对这个下载作处理，其实这也不能怪作者了，看看文件的时间2003-3-18，大概还没几个人知道asp后缀的数据库也能被下载吧！
使用flashget下载http://www.xijing.com.cn/shixunchu/database/admin_ceocio.asp，下载打开后，可以获得后台用户和密码。至于如何找到后台登陆页面，其实有一个简单的方法，只要随便敲一个后台程序的名字，如admin_left.asp，自然就会找到登陆页面了。
因为最初在本地分析的时候，没有看到这个后台有上传权限，所以没有继续测试。
接着来分析一下论坛，其实http://www.xijing.com.cn/shixunchu里是没有论坛的，不过针对"西路"倒是可以分析一下，进入bbsxp目录后，可以看到database目录，里面有一个#bbs004f0411.mdb的库文件，显然作者也是在防止数据库下载的，使用了"#"来命名，但是我们使用"%23"来替代"#"后，同样可以下载数据库，而在库中后台用户密码都是明文形式存在的，最关键的论坛后台是由上传权限的，所以危险性更大。
另外，他有一个备份数据库的目录，里面存放有初始的库文件，当我们把自己当前的库做备份的时候，也是存在被下载的危险的。
经过上面分析，说明了2个问题：
1、作者其实已经做得比较安全了，其中针对页面传递参数等等都作了处理，但是随着新的攻击技术的发现，我们的管理员应该及时修补漏洞，安全并非一劳永逸的事情。
我在google里搜索了一下，在10个站中，只有一个下载网站后台数据库没有成功，而其他mdb的就更不用说了，其安全性之脆弱，可见一斑！
2、我们在把别人写的程序拿来使用的时候，即使对程序可能没有办法做得更安全，但对于一些常见的防范措施还是要考虑以下，不能拿来就用，一点也不动，起码的数据库改名，存放目录修改，包括在库里填充<%%>等方法，都是应该做的，否则，轻的是页面被黑，重的是数据丢失，还是很划不来的啊！
针对access库被下载的威胁，还是好好去看看这篇文章
http://www.hoky.org/blog/blogview.asp?logID=925
我在google里以"news/index.asp?leixing="为条件搜索，基本出来的都是以"西路"搭建的后台，除个别站长作了安全处理外，基本全部存在上述问题，希望各网站站长看到本文后，及时修补自己的漏洞！谢谢！
转载请注明酷客天堂阿酷原创！酷客天堂--用我们的双手撑起中国网络安全的一片天空！