尘月系统漏洞 泄露商业机密

安全阵线

王磊 · 2009年7月20日 第28期

每周小编陈邓新都会监控网络安全,挖掘最新安全威胁,报道当前最危险的漏洞、最新的挂马网站分析。精彩内容,不容错过。欢迎大家踊跃爆料,来信请发到pcw-chendx@vip.sina.com。

本期主角:尘月网站智能管理系统

问题所在:对变量的过滤不严格

主要危害:控制网站,挂马、窃取商业机密

调研时间:2009.7.10~2009.7.12

搜索关键词“尘月网站智能管理系统”,一共获得了约289,000个结果,使用该系统的多是商业网站、公共服务网站。一旦网站被入侵,可能就会造成无法估量的经济损失。

我在黑客网站看到有人公布了尘月网站智能管理系统的漏洞,但细节不详,于是我自己对该漏洞进行了研究,找到了利用方法。利用该漏洞,我曾经进入了数十个网站的后台,发现有大量使用尘月网站智能管理系统的网站都没有打上补丁。

这非常不正常,到底是什么原因呢?调查后发现,尘月网站智能管理系统的官方网站没有提供补丁下载,所以非授权使用该系统的网站得不到相关的服务。可使用该系统的不少是商业网站,它们对黑客敞开了大门……

keyword过滤不严产生漏洞

尘月网站智能管理系统的company.asp文件中,判断了变量ID的值是否为空和过滤掉空格。在搜索组件中,search.asp提交的keyword变量没有得到有效地过滤。将注入语句通过变量keyword提交到company.asp时,系统不会过滤。

这就好比两个连通的仓库,其中company仓库含有需要保护的机密,但是仓库对外来人员的检查很严格。黑客想直接进入campany当然行不通,可是另一个仓库search的检查有疏忽,黑客就可以溜进search仓库,然后从相通的门进入目标仓库company。

安全小百科:SQL是专为数据库建立的操作命令集,它由其特殊的结构和命令组成,其操作命令就是我们常说的SQL语句。网站采用ASP、PHP、JSP等动态页面和SQL数据库时,系统如果没有对Web表单递交、输入域名或页面请求的查询字符串进行过滤,黑客在当中插入SQL语句后提交,服务器就会受其欺骗从而输出管理员密码的MD5值等。

渗透尘月系统

第一步:要寻找使用尘月网站智能管理系统的网站,直接在搜索引擎中搜索“尘月”是不行的。尘月网站智能管理系统组件“Web-GuestView.asp”是其他网站系统没有的,所以在谷歌以“inurl:/Web-GuestView.asp”为关键字搜索就可以找到使用尘月网站智能管理系统的网站(图1)。

28-f07-01.jpg

安全小百科:inurl的含义是“统一资源定位器”,也就是只搜索URL中含有的关键字。用法是“inurl:xx”。例如我们要在网上找chendx.html这个页面,只要在搜索引擎中输入“inurl:chendx.html”即可。只要网站的这个页面没有加入Robots.txt,它就会出现在搜索结果中。

第二步:从搜索结果中随意挑选一个目标网站,在其域名后面直接加上构造的注入语句:company.asp?%69d=7%20or%201=2%20un%69on%20s%65lect%201,username,password,4,5,6,7,8%20fr%6Fm%20admin(图2)。

28-f07-02.jpg

安全小百科:有些字符在URL中是不能够直接传递的,但是我们可以通过编码进行传递。编码的格式为:“%”加字符的ASCII码,即一个百分比号%,后面跟对应字符的ASCII码值。例如黑客就用“%23”替换“#”下载数据库。

我们可以从“你现在的位置>>关于我们>>admin”中得知该网站管理员账号是admin,管理员使用的密码是MD5加密后的数值49ba59abbe56e057。登录MD5在线解密网站,破解出密码:123456(图3)。

28-f07-03.jpg

第三步:尘月网站智能管理系统的默认后台登录地址是http://www.xxxxx.com/admin_cy/zzm.asp。所以在其目标网站域名后面输入admin_cy/zzm.asp即可进入后台登录页面(图4)。输入之前得到的管理员用户名和密码成功进入网站的后台。

28-f07-04.jpg

进入后台后可以尝试进行挂马操作。如果黑客进入的是商业网站,还可以收集隐私(图5)、窜改汇款账户(图6),这样会造成无法估量的损失。

28-f07-05.jpg
28-f07-06.jpg

漏洞解决方案

因为尘月网站智能管理系统并不是开源免费的网站系统,所以在官方网站上没有找到相关的补丁下载——它们都是直接为授权用户服务,所以非授权的网站只能手工修复了。在网站的目录下找到search.asp,用记事本打开并在头部添加如下内容:<!——#include file="glv.asp"——>,然后到http://www.shudoo.com/bzsoft下载补丁放到search.asp所在的目录即可。如果再进行注入攻击时就会显示“还没有添加相关的内容!”。

对普通用户而言,上网时一定要开启杀毒软件的实时监控功能,最好使用带网页木马拦截功能的安全辅助工具。遇到网址,不要盲目点击,先看看网址是不是被加密过,如果网址加密过最好就不要点击。