通过注入入侵网站

网络安全

2006年9月11日

36-f10-b1.jpg

话说上次Jack得知了这个网络犯罪团伙的网站后, Jack赶忙打开这个网站,这时他的杀毒软件立马弹出2个窗口,警告拦截到一个特洛伊木马和一个后门程序,看来真是进了毒窝了。可让Jack困惑的是这个网站并没什么特别,全是些如何获得免费QQ币、如何网上赚钱等骗人的东西。那这个团伙是如何通过这个网站联系的呢?刚刚找到的线索似乎又中断了……

Ivon的家

2006-08-08 星期二 20:40

叮叮……叮……(门铃声)

Jack:不好意思这么晚打扰你,遇到一个大难题。我已经找到了他们的老巢了,是一个网站,看起来也没什么特别之处,不过刚进去的时候杀毒软件报告有木马和后门程序。

Ivon:你还真穷追不舍啊,精神值得敬佩。他们网站都是什么内容?

Jack:除了免费QQ币、上网赚钱这些,还有些整人的玩笑程序,Sun曾给公司的其他同事发送过一些玩笑程序,后来她和这些同事的QQ号码都被盗了,估计当初她就是被骗在这个网站下载了捆绑了木马的玩笑程序。我看到网站有个后台系统,可是进不去,估计这里面就是真正的黑幕。

Ivon:让我来看看这个网站(Ivon打开电脑,访问到这个网站),初步观察这个网站是利用ASP+SQL技术搭建的,要想进一步深入下去最简便的方法就是利用SQL注入攻击了。

Jack:网站注入啊,我以前听说过,ASP类型的网站最容易招致注入攻击。那事不宜迟,赶快干吧,你在一旁给我指点。

Ivon:哈哈,你真是说风就是雨啊。的确SQL注入难度要稍微大一些,可以使用一些SQL注入程序,WIS就是这样一款简便的工具。

首先我们要扫描一下他这个网站是否有SQL注入漏洞,Ivon熟练地在“开始→运行”键入“CMD”在命令提示符窗口中键入“E:\wis\wis.exe http://www.mt****.com/(图1)。

36-f10-1.jpg

这时就要验证该网站是否存在SQL注入漏洞,回车后WIS立即对该站进行扫描。

Ivon:哈哈,不出我所料,WIS已经返回结果了,有2处存在SQL注入漏洞(图2)。

36-f10-2.jpg

下面就是要利用SQL注入破解后台管理账号了,这里我们可以用WIS的同门工具WEB.exe,和前面的方法一样,在命令提示符窗口下运行web.exe并尾带刚才找到的有漏洞的地址,命令如下“e:\web\web.exe http://www.mt****.com/nbhy/share.asp?id=3763”。

这时候WEB.EXE就会利用其自带的字典文件来破解用户名和密码,很快就破译出了数据库的表名和其他表的字长,随后web.exe又自行开始破解用户名和密码。

很快屏幕上就显示出破解的用户名和密码分别是humingyi和hu1982,如果你认为WEB.EXE自带的字典文件还不够大,可以自行添加其他字典文件。

网站为什么会被注入漏洞?

这是因为部分Web程序员在制作网站的过程中,没有对用户输入的字符进行合法性判断,ASP网页对数据库的查询语句一般为http://www.mt****.com/nbhy/share.asp?id=3763这样的形式调用数据库中的内容,而服务器端将以表名from、字段where和具体调用参数ID将查询结果返回页面,如果有恶意用户故意在这段调用参数后面添加其他代码,服务器端就会返回错误信息,就会显示出该网站使用的是什么类型的数据库、通过什么方式连接、连接名称等重要信息。

而数据库的管理账户和密码一般都放在login表中,因为大多数网站的管理员都默认为admin,所以他就会利用这一漏洞输入http://www.mt****.com/nbhy/share.asp?ID=3763 and (Select password from login where user_name='admin')>0在随后返回的错误页面中管理员密码被暴露无遗!

如何防范?

首先将IIS服务器设置为对于所有错误只返回HTTP500错误页面,同时在编写网页时对用户提交的代码进行合法性审查,对用户提交的delete、from等敏感参数立即停止执行。最后一道防线就是对数据库内的用户名和密码使用MD5加密,这样即使服务器错误页面泄露了用户名和密码也只是被加密后的乱码一堆。目前对经MD5加密的强口令的破解还很难。

Jack:哼哼,不费吹灰之力他们这个网站的管理密码就被我破解出来了。

Ivon:他们根本没有想到会有人来反攻,所以疏忽了网站的漏洞防备才让你有了可乘之机。

Jack:快登录后台看看里面究竟有什么鬼?

Jack在首页面下方找到了后台登录页面,输入刚才破解的用户名和密码后登录。原来这里别有洞天,整个后台其实是肮脏的会员交易系统,大量被盗的QQ号码和网游账号在这里被转手倒卖到黑市。

其内部分工明确,有专门制作盗取各种网游账户木马的成员,还有负责在各地网吧四处传播的业务员,同时也少不了对外联系生意的营销人员,俨然一个庞大的网络犯罪集团。从其内部的资料可以看出一个木马一旦被投入到网吧,仅1个星期就会盗取各种知名网游账户上百个,而这些等级颇高的网游账户又通过易趣淘宝等在线交易网站大肆拍卖,每个网游账户能卖到数百甚至上千元,他们正是这样谋取非法暴利!

看到这里Jack和Ivon都震惊了,原来这个网站利用外部吸引人的东西乘机散播各种盗号木马,在其内部大肆倒卖和收集盗取的QQ及网游账号!不能让他们再如此嚣张了!Jack在网站的内部登录日志里发现了这帮黑客使用电脑的IP地址,随后拨打了110报警。

不久公安机关抓获了几名主要嫌疑犯,一场神秘的盗号事件终于揭晓了。但是还有几名犯罪嫌疑人在逃,就在这时不幸的事情发生了。一些漏网的黑客出于报复,对Jack公司的服务器进行了入侵,然后删除了一些重要资料。

Jack和Ivon临危受命,公司领导要他们来恢复服务器上的重要资料······