入侵 网站头号威胁

PC玩家

2009年9月21日 第37期

作为网站管理员,你肯定要面对黑客,知己知彼才能百战不殆,你要防范黑客,你就必须知道他们都有哪些入侵手段。你知道他们是怎么入侵网站的吗?你知道他们是如何神不知鬼不觉地进入服务器的吗?我们邀请了高手YoCo Smart来传授他的入侵经验,希望你能从中找到借鉴之处,加强网站安全防范。

本期黑客:YoCo Smart

擅长技能:网站安全研究、病毒研究

人物简介:曾经帮助数百家网站找到漏洞,消除了潜在的安全隐患;研制过一些建站程序的ODay漏洞补丁,免费发给相关的网站管理员;写过不少病毒分析的文章。

我是习科信息技术的组织者YoCo Smart,我妹妹就是白月娜,我们号称习科双杰。我们组织的成员都是爱好安全的学生,热衷研究网络安全的技术,我们入侵网站、服务器的目的就是为了给相应的管理员进行安全风险提示,不追求破坏,欢迎志同道合者加入我们的行列。黑客不是一天就可以炼成的,需要不断的学习和磨炼,大家跟随我一起成长吧!

网站是这样被入侵的

在读高中的时候,我无意中结交到了黑客牛人鬼仔,在和他讨论黑客技术的时候,受益匪浅。那段时间,我的入侵技术得到了很大的提升,于是不断地在网上寻找可以入侵的网站。如今的我,怎么说也算是高手了,静下心来总结了一套自己的入侵方法。

小说中的武林绝顶高手是不带武器的,草木皆可作剑;黑客高手也是不用工具的,因为工具都是他们编写的,那是我憧憬的境界,不过现在还达不到那种境界,工具还是要用的。经过我多年“南征北战”,用过无数黑客工具,建立了自己的黑客兵器库,其中就有几款不错的入侵工具(下载地址:http://www.shudoo.com/bzsoft)。

根据我的入侵经验,用黑客工具找到服务器的漏洞的成功率不高,能否找到漏洞就要看你的人品啦!人品如果爆发,一切就能找到!我入侵一般是从网页入手——这也是入侵网站的主流方法。

安全小百科

在服务器上,要开启系统自动更新和日志记录,开启防火墙和杀毒软件,保证系统中不存在弱口令。

进入网站先干啥?我一般是先找网站的后台,网站为了方便管理都会存在一个或者多个后台,它们就如同一个营地里的指挥所,指挥所被人控制也就意味着整个网站的沦陷。找到后台,试弱口令、SQL注入等手段就可以一一施展出来了。如果成功进入后台,再尝试能否进一步入侵服务器。

安全小百科

非IT类网站由于管理员的网络安全意识淡薄,很多网站管理员的账号名称是admin,密码则为admin、123456或admin888,即使是IT类网站也可能存在类似的弱口令漏洞。

有的网站的管理员的安全意识非常强,网站做得像铁桶一般漏水不进,又该怎么办?我曾经也碰到过这种网站,费时费力结果一无所获。正门不让进,那就走后门吧!直接入侵网站所在的服务器,再入侵网站(俗称旁注),就OK啦!土地都不安全,建在土地上的房子能安全?图1是我总结的入侵路线图。

37-c26-1.jpg

一个真实的入侵案例

我以中国万网为例,给大家实例展示网站入侵的方法(文章中将实际检测地址改为www.chendengxin.com)。

1.揪出隐藏的后台地址

找出www.chendengxin.com后台,先借助搜索引擎的力量试试,说不定就搜索出来了。在搜索引擎中输入“admin inurl:chendengxin.com”或“管理员 后台 inurl:chendengxin.com”等关键字进行搜索即可。搜索不到,看来网站还是有一定的安全防范措施的。不过还是难不倒我,我用猜解工具破解出了后台地址(图2),www.chendengxin.com的后台路径是/manage/adminlogin.asp。

37-c26-2.jpg

安全小百科

一些商业网站中往往有些隐私内容不希望被搜索引擎收录,通常它们会在网站根目录建立一个robots.txt,将不想被搜索的路径添加到robots.txt中。

2.后台不设防

后台页面,超级雷人,为什么这么说?该页面存在弱口令漏洞,输入用户名admin和密码123456即可登录后台(图3)。好歹也是大型网站,怎么能用这么菜的登录账号?不费吹灰之力,我就进入了网站后台,太没有挑战性了。

37-c26-3.jpg

安全小百科

进入网站后台后,通常黑客先上传一句话木马,然后用这个一句话木马再上传真正的木马。在一个网站的后台中,能被利用上传木马的功能往往是各种上传功能(图4)。

37-c26-4.jpg

需要注意的是,图片上传与附件上传是有区别的,如果是图片上传就不能直接上传ASP木马,需要把ASP木马伪装成图片。用记事本打开木马在开头部分输入GIF89a?,回车即可。代码的目的是为木马添加GIF图片的头部,点击“浏览”选择伪装好的木马上传即可。

3.借助木马控制网站

进入网站后台,如果光溜达溜达感到无趣,还可以进一步控制网站。用网站自带功能上传木马,再找到上传的图片,点击右键选择 “图片”属性,看到图片的地址是http://www.chendengxin.com/img/product/2009831105760.asp(图5)。

37-c26-5.jpg

在浏览器的地址栏输入地址http://www.chendengxin.com/img/product/2009831105760.asp,就看到之前上传的木马(图6)。接着将木马再上传一次。

37-c26-6.jpg

图6中的f:\usr\cwf93335是网站的根目录,cwf93335是空间文件夹,在Internet上访问http://www.chendengxin.com其实就是打开了cwf93335的index文件。我将木马上传至f:\usr\cwf93335并命名为data.asp,再回到后台将之前发布的信息和图片都删掉,清除入侵痕迹,这一步不能省略。此时,木马的地址就是http://www.chendengxin.com/data.asp,通过木马我就可以控制网站了。

4.服务器 我来啦

控制网站后,余兴未了,我又继续深入,准备拿下服务器。通过木马访问system32\config(图7)或者repair文件夹,找到了密码文件SAM。不要问我为什么密码文件SAM在那里,自己百度去!

37-c26-7.jpg

下载文件破解后,就可以得到管理员的用户名和密码了。我美滋滋地去下载,结果不允许我碰该文件。看来是网站设置了权限不允许下载SAM文件。就这样放弃?NO!我在命令提示窗口中输入copy c:\system32\config\SAM f:\usr\cwf93335\SAM,这样SAM文件就被复制到网站的根目录了,于是我成功下载该文件。

我知道了这个网站的目录是在服务器的f:\usr\cwf93335,联想一下,同服务器的其他网站会不会也在f:\usr\目录中呢?在地址栏中输入特别地址。果然,在这个文件夹里发现了400个网站(图8)!

37-c26-8.jpg

安全小百科

在谷歌中输入“同IP站点查询”,选择一个查询页面,在里面可以看到同一台服务器上都有哪些网站。

成功入侵网站,可以在网站中挂马,导致网站用户纷纷中毒;可以删除网站的数据,导致网站瘫痪;可以停止网站提供的服务,严重的甚至可以导致大面积的断网……不过,这种事情我是不会做的,一名真正的黑客注重技术研究,而不是搞破坏,在发现网站安全隐患后我都会及时通知网站的管理员。也劝告所有想当黑客的朋友,千万不要为了搞破坏去学黑客技术,不然警察叔叔会请你喝茶的。