接近她,偷偷使用校网漏洞“组合拳”
网络安全
博弈主题:校园网络安全
本期黑客:小雨
个人专长:入侵渗透
技术难度:★★★☆☆
知识点:通过本文你可以学到织梦内容管理系统DedeCMS漏洞的利用和eWebEditor网页编辑平台入侵技巧。
在校园网络安全中,安全的每一个环节都很重要,它们如同紧紧编织在一起的渔网,一旦一个环节出现漏洞,很可能会造成整个网站被攻陷。通过一个程序漏洞接一个程序漏洞的组合式入侵,学生小雨瞬间就控制了看似密不透风的选课服务器。
3月11日 无风
自从进入她的电脑后,我就一直躲在网络的背后悄悄地观察着她,在她不知不觉中,我看她聊QQ、上网、写作业、在电脑上K歌。她是一个音乐学院的可爱女孩。我不认为我是有偷窥欲的人,但是在无聊的校园生活中,如果能够在打开电脑时看到一个漂亮的美眉也和我一样在这个校园中生活,对我来说非常鼓舞人心。
我不知道上帝是不是也像我看她那样看着世界上的每一个人,但是我在通过木马观察她的时候,真的感觉自己就如同万能的上帝一样。也就是在这些日子,我发现,我恋爱了……我发现,我爱上她了……
单相思不能解决问题,我必须制造和她在一起接触的机会,于是我决定入侵学校选课系统,通过后台查看她的课程表,修改我的课程表,我要实现的目标非常简单,入侵选课服务器,使她和我的自选课程一模一样。我立刻登录学校的选课系统,对选课系统一通狂扫。很遗憾,第一轮扫描过后,我没有找到任何有利用价值的漏洞,难道就这样轻言放弃吗?
发现被忽视的漏洞
通过扫描分析学校选课系统的服务器,我发现在这台服务器上还存放着另外两个网站,分别是音乐学院的CMS综合信息网站和音乐学院的研究生网站。后者用的是eWebEditor的管理平台(它是一个网页内容编辑平台,类似于网页版的Word程序),我找到了它的后台登录入口,不过默认数据库路径已经被修改无法利用了。
音乐学院的综合信息网站的CMS平台成为了我最后的希望。打开主页面后,我试图寻找页面中有关这套程序的标志内容,但页面痕迹被清理得很干净,表面上没有任何与该网站程序相关的信息。于是,我在浏览器中点击右键,选择“查看源文件”。
通过查看源文件(图1),我发现综合信息网用的是织梦内容管理系统DedeCMS。这套内容管理系统在buy_action.php页面(商业页面)处理PID传递时,会出现一个可以暴出管理员密码的严重SQL注射漏洞。根据站长清除网页信息痕迹的手法,我推断网管一定不经常给这套系统升级,而且网站也没有用到商业功能,可以利用漏洞尝试入侵。
暴出管理员密码
首先我要在这个网站上注册成为用户,但网站的首页没有给出任何注册所需的链接,看来注册入口被管理员隐藏起来了。不过这难不倒我,在入侵网站的网址后插入“/member/index_do.php?fmdo=user&dopost=regnew”这段链接网址,注册页面就会顺利打开,很快就成功注册了。
登录后,先把IE浏览器网址栏中的网址变成http://www.XXX.edu.cn(XXX为目标网站地址)的初始网址,然后在这段网址后输入“/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@_admin/*”,回车后网页马上进行了刷新成为了一个订单页面,在页面中的“产品名称”后面跟随的就是管理员的用户名(图2)。
管理员用户名得到后,将刚才输入的内容完全删除,然后在初始网址后填入“/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,sub string(pwd,9,16),4,5%20from %20%23@_admin/*”,回车刷新后,在“产品名称”中就可以看到密码了。密码虽然是以MD5加密形式出现的,但是可以通过MD5破解网站破解得出密码明文。
通过eWebEditor上传木马
先前我找到了eWebEditor管理平台的后台登录地址,这时就先试试用DedeCMS的管理员用户名和密码可以登录不——都是音乐学院的网站应该是一个管理员,结果真的成功了,省去了找DedeCMS后台登录界面的步骤。
我进入eWebEditor后台中的“样式管理”页面,选择s_full样式中的“拷贝”选项,进入“设置”内容后,我要通过修改允许上传类型中的“其他类型”达到上传ASP木马的目的。
在“其他类型”中输入ASPASP,输入ASP两遍主要是因为系统会自动过滤掉一个ASP字符,这样输入过滤后仍然会保留一个ASP字符。点击“确定”后,我回到“样式管理”页面,在s_full样式的预览选项中,我就顺利地将ASP木马上传了,木马上传成功后就能控制服务器了,现在就可以进到选课系统的数据库了(先前一直进不去),找到她的选课资料后,我也相应地修改了我的选课信息,我的梦想一步步地接近了。
第二天,不知道数据库中的资料是否与现实相吻合,我焦急地等待着。9点45分,她果然出现在声乐教室的门口,我随后紧紧地跟了上去,立即坐在了她的身边,她惊讶地看着我,我也故作惊讶地看着她,我跟她说,这真是上天的机缘巧合呀。声乐课开始了,她动情地照着乐谱唱了起来,声音好甜呀。当然,随后就听见了我嚎叫般的伴唱的声音……
修补DedeCMS漏洞
要解决DedeCMS漏洞,最好的办法就是下载并安装厂商的修复补丁。还可以直接将buy_action.php页面删除掉,毕竟在校园网中使用得较多的是内容管理功能,商务功能基本没有用处。
此外,面对现在越来越凶猛的注入攻击,校园网网管们最好能够选择更新维护较快的CMS程序,另外也要尽量避免同一个网站多个不同类型的程序同时存在,最好使用保持网站高度统一的程序。
黑客小游戏
我们把暴出的密码明文藏在下图的9×9的大九宫格中。如果你把九宫格内的密码破解出来了,可以发到pcw-chendx@vip.sina.com,欢迎你的参与。大九宫格每一行与每一列都有1到9的数字,每个小九宫格里也有1到9的数字,并且一个数字在每行、每列及每个小九宫格里只能出现一次,密码就藏在第5行中。
