学校网站权限保卫战——拒绝《天空教室网络课堂》的SQL注入
网络安全
你是横行网络的黑客?你是身怀绝技的安全专家?欢迎到本栏目做客!欢迎你们在这里展示黑客的攻击技巧和相应的防范方法,让读者能从中获得启迪,不再怕“黑”! 投稿信箱:pcw-chendx@vip.sina.com。
博弈主题 网站权限攻防
本期黑客 阿杰
个人专长 网站入侵
技术难度 ★★★☆
教育网站的安全一直备受人们的关注,它们在与黑客的博弈中安全性也得到了很大的提升,“傻瓜式”的工具入侵也越来越难。现在真的可以高枕无忧了吗?下面,我们来看一场利用《天空教室网络课堂》SQL注入漏洞的的攻防战,掌握一些克制网络程序SQL注入的技巧。
攻 巧用程序SQL注入点拿网站权限
我对网站入侵特别是学校网站很有研究的,可以很轻易地搞定它们。入侵网站很多高手都是采用手工寻找SQL注入点,不过我不会这么做,因为有更快捷的方法——利用学校网站中的程序漏洞提供的注入点进行入侵。
不少学校网站中安装了《天空教室网络课堂》,我钻的就是它的空子。大家不要误会,我用的不是该程序的上传漏洞(老掉牙的东西了),而是用它的SQL注入漏洞拿相应网站的权限。目前所有版本的《天空教室网络课堂》都存在该漏洞,且官方还没有推出补丁。
小提示:《天空教室网络课堂》因为存在ASP变量过滤不严的问题,导致程序存在严重的SQL注入漏洞,并且由于它使用MSSQL数据库,因此只要能拿到它的权限就可以对服务器为所欲为。
A.寻找下手目标
要找存在漏洞的网站程序,利用搜索引擎是最方便的。打开Google,搜索的关键字是“天空教室网络课堂”,可以发现有很多网站正在使用这款程序,选择其中一个进入即可。需要注意的是,有的网站安全防范做得很好,利用该程序漏洞是拿不到权限的,我们可以多试几次。
进入“天空教室网络课堂”页面后,点击上方的“课程介绍”。在“课程介绍”中再选择任一门课程进入,新打开的页面右下角会显示有该课程的主讲老师照片,在照片上点击右键,选择“属性”,查看其网址,然后将它复制下来(图1)。
B.利用SQL注入进入网站
运行SQL注入检测工具《旁注Web综合检测工具》,在主界面中切换标签到“SQL注入”,然后点击“SQL注入猜解检测”按钮,将刚才复制的图片地址填入到“注入点”中,接着点击“开始检测”按钮。稍等片刻,工具就会返回检测的结果“该URL可以注入!”,同时还会给出网站数据库的类型为“MSSQL”,权限为“SA”,也就是最高权限(图2)。
OK,接下来我们点击工具栏上的“MSSQL辅助工具”按钮,切换到“列目录”标签,在“当前路径”中填入需要浏览的网站目录,例如“C:\”,然后点击“列目录”按钮,这时网站服务器上的C盘目录就尽收眼底了(图3)。
C.获取网站权限
当然看一下服务器硬盘中的文件目录结构,是满足不了我们的,别忘了我们的目标是获取权限,切换到“命令行”标签,在“命令”中输入“net user test 123456 /add”,然后点击“执行”按钮,如果工具回显“命令成功完成”(图4),那么就表示我们成功在服务器上建立了一个名为“test”,密码为“123456”的账户。我们把它提升为管理员,输入命令“net localgroup administrators test /add”并点执行命令即可。
现在,我们已经是这台服务器的管理员了,通过刚才新建的管理员账户密码就可以登录服务器为所欲为了。
防 不让黑客利用程序漏洞作怪
“千里之堤,溃于蚁穴”。就利用了《天空教室网络课堂》的SQL注入漏洞,黑客就这样轻松地拿到了网站权限。小编提醒网站的管理员,还要对网站上所使用的程序有一定的了解,否则对网站的安全是很不利的。
学校网站中如果使用了《天空教室网络课堂》,该如何防范黑客攻击呢?小编建议大家暂时停止《天空教室网络课堂》系统,等待官方发布安全补丁。此外,还需要对服务器程序的访问权限进行严谨地设置,这样即使程序出现漏洞,黑客也无法利用漏洞干别的事。
回音壁
读者 伍娟洁:看了上期文章,我想请问一下,最新版的Oblog是不是就没有漏洞了?我所采用的Oblog4.6商业版本存在安全漏洞吗?
小新:任何程序都不能保证没有漏洞,不管是新版还是老版都有可能存在漏洞,所以我们不能肯定地说最新版的Oblog没有漏洞。至于你用的Oblog4.6商业版本存在注入漏洞,请尽快升级并备份程序,避免被黑。
读者 乒乒乓乓:请问为什么要采用MD5破解网站解密MD5值?可以采用其他的方式破解MD5值?
小新:由于MD5破解网站收录了常见MD5值,可以更快速地破解MD5值。不过除了利用MD5破解网站解密,也可以通过专业的MD5破解软件进行解密,如MD5Crack等。