入侵博客漏洞
博客,曾是涂鸦文字、倾吐心事的天堂。如今,面对自身的漏洞、黑客的攻击,这个精神的殿堂坍塌了……
本期,我们会结合实例对博客中的四大漏洞进行介绍,希望能使更多的人关注博客的安全问题。
入侵博客太简单
对于网站、论坛之类的网页程序来说,由于它们建立在大中型的网站服务器上,早已经过多次黑客攻击的洗礼,因此一般来说很少存在着明显的漏洞。
而博客(Blog)则不同,博客的使用者大部分是个人用户甚至是菜鸟,由于这些人对网络程序的安全性并不清楚、重视,同时大部分的博客都存在程序编写不严谨的问题,以至于众多博客往往都存在着许多安全漏洞。
可以这么说,博客是集网络程序中的安全漏洞之大成者,曾经流行一时且在其他网络程序中都难以找到的安全漏洞,在各种版本的博客中却能被轻易地找到。从暴库、SQL注入到文件上传漏洞、Cookie欺骗等,漏洞比比皆是。
想要入侵博客?这太简单了!让我们抓住博客中的四大漏洞开始攻击。
漏洞一:
数据库下载漏洞
所谓数据库下载漏洞,就是在用Access做后台数据库时,由于源程序文件暴露或黑客通过其他方法猜到了服务器的Access数据库的路径和数据库名称,那么黑客就可下载Access数据库文件,获取其中的重要信息、数据,以便进一步展开攻击。
第一步,搜索攻击目标
打开搜索引擎,搜索关键词“Program by Dlog”,可以找到许多博客页面,这些博客都是使用“Dlog破废墟修改版”建立的。wWw.ItcoMpUTEr.CoM.cn我们要找的页面是存在暴库漏洞的1.2版本。许多用户都忽视了这个版本中内嵌的eWebEditor在线编辑器数据库的安全性,致使黑客可以使用默认的路径进行下载。
第二步,获取管理员密码
在搜索结果列表中随便挑选一个攻击目标,“http://s*.****.com/blog/”中了“头奖”。利用浏览器打开这个博客,在原有的地址后面加上“eWebEditor/db/eWebEditor.mdb”并回车,下载数据库(图1)。
图1
打开这个数据库,在数据库的“eWebEditor_system”列中可以看到管理员的用户名和密码。由于密码都是经过MD5加密的,因此找一个MD5密码暴力破解器计算几分钟或几天,就可得到密码。不过,根据笔者的经验,只要能下载这个数据库,就说明管理员极有可能(90%的几率)没有更改默认的登录密码,如果看到MD5密码为“7a57a5a743894a0e”,那么密码就是默认的“admin”。现在,我们就可进入eWebEditor后台在线编辑页面了。
第三步,控制服务器
在博客地址后加上“eWebEditor/admin_login.asp”即可打开eWebEditor后台在线编辑页面。输入默认的用户名和密码“admin”即可顺利登录博客的后台管理页面。
新添加一个博客样式,修改文件上传类型,在“其它类型”中添加“asp”,这样就可以上传ASP文件了。最后,点击“提交”保存博客样式,返回样式管理页面。在样式列表中找到刚才添加的样式,并点击样式名后的“设置”按钮,就可使用新的博客样式。
退出管理页面后进行注册并登录博客,然后发一篇帖子并选择上传文件,此时我们可以上传ASP木马以便控制整个服务器。
漏洞二:
文件上传漏洞
自从动网论坛的文件上传漏洞暴露后,各大网站和论坛都对自己的上传系统进行了查漏补缺,以免遭受入侵的厄运。然而偏偏就有很多博客系统对此视而不见,留着上传漏洞等着别人来入侵。
第一步,搜索存在漏洞的博客
找到任意一个攻击目标后,首先要测试博客管理员是否将上传网页程序文件删除了,如果用户有一些安全意识,有可能会将默认的上传网页文件删除掉,这时候我们就没有办法利用上传漏洞。
我们选择的攻击目标是“http://www.*****.net/workingbird”,在地址后添加“/upfile.asp”并回车,如果看到提示信息为“Microsoft VBScript 运行时错误 错误 '800a01b6' ”之类的信息,表示该博客网站存在着文件上传漏洞。
第二步,展开攻击
运行“网站上传利用工具”,在“提交地址”中输入upfile.asp上传文件的所在地址,然后在“上传路径”中指定上传木马文件后的保存路径,我们一般将它保存在网站的根目录下(图2)。“路径字段”和“文件字段”使用默认的设置就可以了,在“允许类型”中输入博客系统允许上传的图片类型,一般为JPEG或GIF。在“本地文件”后点击“浏览”选择本地的一个ASP木马,可以选择海洋顶端网木马。
图2
现在点击“提交”按钮,即可上传木马,如果看到信息“1 files had been uploaded!”,则表示文件上传成功。接下来,我们就可以连接上传后的ASP木马进一步渗透攻击,达到控制整个网站服务器的目的。
漏洞三:
SQL注入漏洞
说起SQL注入攻击,可能无人不知,这个红极一时的攻击技术让无数网站纷纷落马,但是谁能保证所有的网站程序都对此进行了防范呢?最起码在Dlog(博客中的一类)中就没有作防范,广大的Dlog用户根本不重视这一漏洞,到了“提醒”他们的时候了。
第一步,扫描博客中的注入漏洞
我们以搜索到的博客“http:// 202.112.*.***/dlog/”作为我们的攻击目标。我们可以使用工具(如NBSI 2 SQL自动注入攻击器)进行SQL注入。运行程序,点击工具栏中的“网站扫描”,在“网站地址”中输入博客网址,勾选“全面扫描”项,点击“扫描”按钮后,就可以对博客网站中存在的所有注入漏洞进行扫描。该程序很快就找到了许多注入可能性较高的链接,看来这个博客逃不出“注入”的攻击了。
第二步,开始攻击
在扫描结果列表中任意选择一个攻击目标“http://202.112.*.***/dlog/showlog.asp?log_id=402”,然后点击界面下方的“注入分析”按钮进入“注入攻击”页面(图3)。点击页面中的“检测”按钮,分析注入漏洞的类型和各种信息。结果却是让人失望的,居然显示“暂未检测到注入漏洞”。这是因为管理员可能进行了一些防注入处理,已经过滤掉了一些特殊的字符。
图3
不要紧,我们可以使用最经典的1=1检测法,在注入浏览器地址栏中的末尾处分别加上“and 1=1”和“and 1=2”,查看两者返回的页面信息中有什么不同。并记下在“and 1=1”页面中出现过,但是在“and 1=2”页面中未出现过的字符串,并将其输入NBSI 2界面的“特征字符”中。
现在点击“再检测”按钮,很快就可看到注入检测的结果。由于数据库是“Access”数据库,所以程序会自动猜解数据库中的表名和列名,点击窗口中的“自动猜解”按钮,即可猜测可能存在的数据库表名,默认的表名为“user_mdb”。再利用自动猜解得到表中的列名等数据信息。然后自动猜解表中的用户数据,从而得到管理员的MD5加密密码。最后使用一些MD5密码破解工具进行暴力破解,登录后台管理页面,达到成功入侵的目的。
漏洞四:
Cookies欺骗漏洞
Cookies欺骗属于比较隐蔽一点的脚本漏洞,在众多的博客中,这样的漏洞也是很常见的。面对这一常见漏洞,大家从没关注过、警惕过。
第一步,搜索攻击目标
搜索关键词“Powered by L-Blog”,选择“http://***.*****.***/blog/”作为攻击目标。
第二步,查询Cookies信息
我们要用到一款可以修改Cookies信息的工具(如“Cookies&Injest”)。打开程序,输入博客网站的地址并登录,在“Cookies”栏中可以看到当前的Cookies信息,其中包含了我们的登录用户名和密码等信息。
第三步,“欺骗”攻击
现在要对Cookies信息进行修改,欺骗博客程序,使它以为登录用户的身份是管理员。点击工具栏中“Cookies”旁的“锁”,此时可直接对Cookies信息进行修改。
我们只修改“memStatus=SupAdmin”(图4),其他内容保留,然后继续保持工具栏中的“锁”为按下状态。现在,退出当前的用户登录状态,重新打开该博客首页。此时会显示我们没有登录,然而我们已经拥有了管理员的权限。
图4
博客应加强安全意识
在本文中,我们介绍了博客中几个常见的安全漏洞,以及如何利用这些漏洞对博客进行攻击。事实上,在各种各样的博客程序中或多或少地存在一些安全漏洞。因此,对黑客来说,博客是一个练习入侵攻击的好战场,在这里各种网页脚本漏洞攻击方法都可以得到充分的演习、利用。
此外,本文的目的是让使用博客的用户能够对自己的博客安全有一个清楚的认识,不要盲目使用一些自行下载的网站程序,在使用博客前一定要对该博客网站程序的安全性有充分的了解。
3389入侵方法 很多朋友利用输入法漏洞通过3389端口入侵别人的服务器时,会发现在连接对方机器后,无法像内网计算机那样可以互传文件,这在很大程度上使入侵后的攻击大打折扣,其实打上微软自家的“补丁”就可以解决这个问题。
在此,笔者就要为大家介绍一下服务器端和客户端的配置方法,让大家能够通过3389终端服务,实现终端机器与本地机器的文件互传。
服务器端(被攻击方)
首先,在http://www.sixvee.com/520yy/cpcw/rdp.rar下载补丁包,其中包含rdpclip.exe、fxfr.dll、rdpdr.dll三个文件(这些文件都可在微软的rdpclip_hotfix中找到)。
然后,将fxfr.dll文件放到“\winnt\system32\”目录下(Windows 2000 Server系统),并在“\winnt\system32\”中建立一个名为“rdpclip”的目录,将rdpclip.exe文件存放到这个目录下。打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd”,将其中“StartupPrograms”的“rdpclip”值改为“rdpclip\rdpclip.exe”即可。这样,服务器端的设置就算搞定了。(本文为WWW.SQ120.COM电脑知识网推荐文章)
客户端(攻击方)
客户端的设置相对比较简单,将“rdpdr.dll”、“fxfr.dll”这两个文件复制到客户机(Windows 2000 Server系统)的“\program files\Terminal Services Client”目录下就完成了客户端的配置操作。
需要注意的是,在客户端配置的过程中,系统会提示是否覆盖原本存在的老版本文件(安装了终端服务的Windows 2000 Server系统中已有这两个文件),我们只要点击“是”,进行替换即可。同时,我们不能在替换过程中使用终端服务,否则覆盖操作会失败。
现在,我们就可使用客户端连接服务器了,就像是在网内进行计算机共享一样,可以方便、快速地执行复制、粘贴文件的操作。对于入侵者而言,就不用再通过其他途径来获取肉鸡上的文件了,此时你手中的肉鸡已可任你宰割了。
3389端口+输入法漏洞 入侵经典案例
本次黑客营系列选题,旨在带领大家认识一些主流技术。为了便于初学者研究和学习,我们为大家提供了一台服务器作为模拟攻击环境,只要你按照我们的步骤操作,就可以体验全新的黑客旅程。
为了保证本关活动的正常进行,小编真诚地希望参与者不要进行非法或损坏服务器系统的操作。不要因为你的一时兴起,而给其他参与者造成障碍。
3389端口是Windows 2000 Server 远程桌面的服务端口。通过3389端口入侵系统是黑客的最爱,因为通过图形界面,可以像操作本地计算机一样来控制远程计算机。但是如何绕过系统身份验证,进入远程系统却成为了一个关键问题。本文将要提到的方法是利用经典的输入法漏洞,该漏洞存在于Microsoft Windows 2000所有中文版本,可以通过微软提供的补丁程序进行漏洞修复。
GG好象不舍得 编注:虽然此漏洞不算什么新鲜事,但是正如经典的商业案例会被载入MBA教程一样,不会被时代所遗忘。而且现在仍然有一些网管因为疏忽或对它重视不够,犯此严重错误。作为初学者,你必须认识并完全掌握它。只有对基础知识有了全面的了解,你才有进阶的资本。
Step1:备好攻城锤——获取终端服务软件
网站cp.feedom.net开启了3389终端服务,前面讲过这是一个方便用户管理的远程连接服务。我们可以通过微软开发的管理软件来对服务器进行远程管理(Windows XP系统已经自带)。该软件可以到http://www.bitscn.com/upload/TS.rar下载得到。
Step2:短兵相接——连接远程服务器
这是一款绿色软件,解压后双击mstsc.exe执行文件即可使用。在出现的如图1所示的界面中,“计算机”是你要远程控制的服务器的名称,我们在这里输入本栏目提供的服务器域名cp.feedom.net。点击“连接”,屏幕上将出现Windows 2000的登录画面。
图1
Step3:长驱直入——绕过系统身份验证并获取管理员权限
这一步操作是很多初学者最难理解和完成的,下面听笔者细细道来。
1.按“Ctrl+Shift”组合键,快速切换至全拼输入法,这时在登录界面左下角将出现输入法状态条。如果没有出现,就有两种可能:
1)时间问题:服务器的数据流传输有一个延时的过程,需要耐心等待。
2)操作问题:如果你将鼠标指针点击在了“密码”旁边的空白栏处,输入法状态条是不会出现的,需要将鼠标点击在“用户名”旁边的空白栏。
2.用鼠标右键点击状态条上的微软徽标,选取“帮助”中的“操作指南”,在“输入法操作指南”的左上角点击鼠标右键,在弹出的菜单中选择“跳至URL(J)…”。接下来你将会看到Windows 2000的系统安装路径和要求填入路径的窗口。
编注:在实战当中,如果发现“帮助”呈灰色,那么肯定是该服务器已经补上这个漏洞了,你需要换用其它方法了。
例如在本实例中,系统安装在C盘上,那么就在空白栏中填入C:\WinNT\System32,然后按“确定”,这就成功地绕过了身份验证,进入了系统的System32目录了。
3.现在我们要获得一个账号,以成为系统的合法用户。在想办法得到权限之前,大家有必要先了解一下Windows 2000下关于账号的DOS命令:
net user username /active:yes(激活一个账号)
net user username password(设定账号密码)
net user username password /add(添加一个账号)
net localgroup localgroupname username /add(添加账号到某个组)
以上命令应该清楚了吧,现在让我们来发挥创造性思维。
1)在C:\WinNT\System32目录下找到net.exe,并为net.exe创建一个快捷方式(这个不用笔者教了吧-_-),完成之后会在同一目录下多出一个快捷方式的图标来。
2)用鼠标右键点击该快捷方式的图标,选取“属性”,在“目标”中的c:\winnt\system32\net.exe后面空一格,填入user guest /active :yes,点击“确定”(图2)。
图2
3)上一步的目的在于用net.exe激活被禁止使用的guest账号。当然也可以填入“user 用户名 密码 /add”来创建一个新账号,不过莫明多出一个账户在实战当中容易引起网管的注意,导致入侵失败,此法实不可取。
4)双击运行该快捷方式,不要奇怪你没有看到运行状态,因为实际上guest账户已被激活了。现在需要再修改该快捷方式,填入“user guest 密码”点击“确定”。双击运行该快捷方式,现在guest账号已经有密码了。
5)最后我们要将guest账号加入到管理员组中,使之成为名副其实的系统管理员。再对它进行修改,填入“localgroup administrators guest /add”,然后点击“确定”,双击运行该快捷方式。
注意:
1.因为受到网速的影响,你所看到的图像与操作会有所延迟。
2.由于连接服务器的用户过多,在连接登录服务器的过程中,你有可能会遇到“超过了允许最大连接数”的提示。如果是这样请稍后再试。
Step4:完全占领——控制服务器“肉鸡”
通过上面的操作,我们已经得到了一个系统管理员账号。接下来要想控制这台服务器就好办多了。打开远程终端管理程序,在登录画面出现后,填入用户名guest和你设的密码,点击“连接”,现在你看到什么了?对!这台服务器就是你的了。