买论坛点券 “附送”管理员权限

网络安全

2008年3月3日 第8期

博弈主题:网站权限攻防

本期黑客:苗得雨

个人专长:VC程序设计

技术难度:★★★☆☆

你是横行网络的黑客?你是身怀绝技的安全专家?欢迎到本栏目!欢迎你们在这里展示黑客的攻击技巧和相应的防范方法,让读者能从中获得启迪,不再怕“黑”! 投稿信箱:pcw-chendx@vip.sina.com。

动网8.1版本才推出没有多久,就有高级黑客发现购买论坛点券功能有漏洞,众多菜鸟黑客纷纷尝试用此漏洞进行攻击,一时间闹得鸡飞狗跳!下面我们就来看一场动网购买论坛点券漏洞的攻防战,学习如何彻底拒绝黑客入侵自己的网站。

探索动网8.1“黑洞”

我是一名黑客。

小时候,奶奶说我聪慧过人,尤其擅长推理和演算,4岁跟姐姐进辅导班,5岁在课堂上玩叔叔送的魔方玩具,就因为复原魔方速度之快让老师目瞪口呆, 从而得到了“光头神童”的美名。

8岁,算盘替代了我的魔方,成为了我的最爱。口算、速算、心算,我以超乎常人的速度击溃了一个个来难为我的大人们,后来一位摸骨算命的瞎子指着我的小耳朵对我奶奶说,此乃五百年才一见的小金元宝耳。他说我头上无发,是因为都让慧气吸到脑子里了。

12岁,正当我对算盘珠子上的一切都开始厌烦的时候,电脑这个神奇的机器出现在了我的面前,我娘后来对我说,在我看到电脑之前,她曾经一度担心我眼睛里透出的那种灵性的火光会突然熄灭,但是电脑的出现让她永远失去了为我担心的理由。

1998年,我接触到了一个改变我一生复杂命运的新世界——Internet互联网,这个世界迅速占领了我的生活,也就是在这个世界中,我有了新的追求目标,找出这个网络世界的一切漏洞,软件漏洞、网络漏洞、设备漏洞、脚本漏洞、加密漏洞,甚至是人心理的漏洞,所有能够颠覆这个世界正常秩序的东西都能够给我带来快乐,所有的漏洞都能够带给我一段奇妙的历程……

我是在和一个密友聊天时知道最近才出的动网8.1漏洞,问题就出在购买论坛点券功能上,是因为UserPay.asp文件中接受out_trade_no变量未作过滤导致的。这个漏洞的出现并没有给我带来太多的惊喜,因为套用我那位密友的话,动网论坛的新漏洞是伴随着新版本同步诞生的一对孪生兄弟,永远不会出现独生子。

小提示:有的网站删除了购买论坛点券功能,以为就没有事了,但这个方法对高手是没有用的,他们可以构造外部提交表单来入侵。

第一步:记得当时太无聊,我仅仅是想测试一下这个漏洞的易用性,无意识地点击浏览器上的链接,寻找理想的测试对象,以关键字为“Powered By Dvbbs Version 8.1.1”进行搜索(图1)。或许是天意,我就点击了X先生管理的论坛,而这个论坛也恰恰符合动网8.1的版本要求,于是我开始尝试利用这个漏洞入侵。

8-f13-1.jpg
图1

第二步:我先在论坛上进行了注册,得到了一个级别为普通用户的ID,然后用ID登录论坛。在“用户控制面板”中寻找“购买论坛点券”选项(图2),找到后我购买了一个点券,以便得到入侵所必须的订单号。

8-f13-2.jpg
图2

不知道为什么,无法生成正常的订单号,不过在未成功的订单中,我还是得到了入侵所需的订单号码(图3)。

8-f13-3.jpg
图3

第三步:通过这个订单号,我开始构建入侵的关键点,也就是生成论坛注入点的链接。其实过程非常的简单,我在IE浏览器中输入论坛的UserPay.asp网页地址:http://www.xxx.com/UserPay.asp,然后在这个地址后面输入“?raction=alipay_ return &out_trade_no=20080225182342587 33b64 cea5f'”,果然提示“字符串语法错误”。

有戏了,我调出NBSI这款现在连小孩都能用的注入漏洞扫描器,扫描后并没有提示网站存在注入漏洞。没关系,都已经到了这个时候,我是不可能放弃的,缩小范围精确定位,我在NBSI的“特征字符”输入栏中输入“非法的订单参数”这个关键词,接着手工添加上表名和列名继续检测,不久用户名和密码均一一被破解了出来(图4)。

8-f13-4.jpg
图4

第四步:我挑选出我感兴趣的管理员密码e370faf06dfb40ad,到http://www.xmd5.org网站上破解出密码19801007,估计应该是管理员X先生的生日,这也太随意了吧!登录论坛后台一番折腾,找到了X先生的E-mail,只是抱着试试看的想法,就用19801007试着登录该邮箱,居然就进去了。嘿嘿!看来真的是大多数人都钟爱一个密码。

后来利用这个密码我还远程入侵了X先生的电脑,发现他用的是苹果的Mac系统,于是我顺便测试了一下收藏的Mac系统木马。事实证明,苹果的Mac系统并不是百毒不侵,不过某些不稳定的因素也造成了系统的故障,没过多久我就无法控制X先生的电脑了,后来我听说,他的电脑拿去送修了……

修改代码防被黑

动网购买论坛点券漏洞的修补其实很简单,需要做的仅仅是用记事本将UserPay.asp打开,然后查找到Order_No=Re quest("out_trade_no"),将它替换为Order_ No=Dvbbs.Checkstr(Request("out_trade _no"))即可完全、彻底修复这个漏洞。

小编认为,在网络安全日益受到人们重视的今天,粗放的入侵方式已经不再奏效,取而代之的是对细节的把控。如果单纯的是因为论坛漏洞, 管理员X先生的邮箱不会这么快被攻陷,可黑客利用社会工程学——很多人喜欢使用“全球统一密码”,轻易就突破了。

如果管理员X先生的密码强度比较高,即便黑客得到MD5也破解不出来;如果管理员X先生密码多变,就不会被黑客一路黑到底了。将所有网络安全中的细节都考虑周密,才是网络管理员守住自己防线的关键。

回音壁

读者 张贵领:在看到上期《用DB权限“挖”出深藏的后台地址》后,我按照相同的环境在我朋友的服务器上进行了测试,但是我上传ASP木马后,仍然无法登录后门获得网站的管理权限。请问我是否疏忽了什么关键操作?

小新分析:根据我的判断,你并没有遗漏关键的操作,我想你忽略的应该是ASP木马逃避查杀的问题,由于现在ASP木马泛滥,很多服务器都安装了相关的查杀软件,查杀软件会导致你上传的木马被删除,自然就无法正常打开了,免杀处理后再试试看。