揭秘广东某学院被黑的源头
安全阵线
漏洞出处:注入漏洞
漏洞危害:控制网站
几天前,我偶然看到微博上一名黑客在炫耀他入侵了广东某学院的网站,并且挂上了黑页(图1)。网站为什么会被入侵?是不是有漏洞?反正闲来无事,我就来当一回好人吧,找出漏洞并将其修复。
首先,我看了一下网站的环境,是Win2003+ASP+PHP+MSSQL组合,一个很另类的搭配,不常见——可以想象这样组合的安全系数不高。然后,我要找到网站的注入点,我使用的是啊D注入工具。
将网站地址输入啊D工具指定位置,搜索一番没有找到注入点,看来网站做了一定的安全防护。我又换一种方法来检测——用百度site语法搜寻一下该网站的脚本语言情况。语法如下:
site: www.****.org inurl:asp?
site: www.****.org inurl:php?
这次虽然找到了一些相关内容,但没有可以利用的信息(找到了路径,见图2)。30分钟后,我终于找到一个注入点:http://www.****.org/jyzd/News/List.asp?CategoryID=1,通过构造jyzd admin jyzd user 、jyadmin jy_admin得到了F_ID(图3)。
经过一番工夫猜得表为jy_admin, 字段为F_username,F_password,最后破解出来密码888。现在管理员账号和密码都到手了,登录网站后台地址就可以进入网站后台。
该网站很庞大,有很多分校的网站,还有很多敏感信息,比如教师通信方式、招生办数据、题库等,泄露的话后果很严重的。我的修复建议如下:对目录设置严格权限,所有文件加上防注入脚本,定期维护服务器查找可疑文件。