危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982252

友情检测DELL某分站所想

一、写往前面的话

对于我们这类人而言(你懂的),不管是在论坛、QQ还是现实生活中,经常会被问到“如何去入侵网站?”或“教我做黑客吧!”之类的话题。面对绝对真诚和如此虔诚的此类未入门的朋友,我也会像很多人那样用一句“上百度Google吧!”来搪塞,虽然自己也不是什么高手,因为我们都知道这看似简单的一句问话的背后,其实是一个几乎无边无际的答案。危险漫步从使用X-Scan扫描登录远程3389、Win2000输入法漏洞、DameWare远程控制到网站的注入检测、“小马传大马”等等;这一路走来可谓像是在地上捡芝麻一样,所有的东东都是一点一点地积累起来的,这又岂能用一个“容易”来形容?以前不太理解古希腊哲学家芝诺的“大圆与小圆”的含义(或者说非常肤浅),但通过在“黑道”上混的这几年,我是真体会到了“圆越大,外面的‘无知’面也越大”的道理。我们的老话这样说——“博观而约取,厚积而薄发”(出自《稼说送张琥》),意思是指要经过长时间有准备的积累方能在将来有所作为。如果你想真正拥有点儿什么的话,建议平时把别人玩儿游戏和看电影的时间用来多泡泡技术论坛,多学几个教程,多尝试一下,相信人人都能把小芝麻捡成大西瓜的。

嗦了一大堆,是源于今天的一次对成都Dell的友情检测经历,起因是帮一个xx的朋友购买电脑。绝对没有什么所谓的入侵理由(貌似是“职业”习惯),就是一时兴起,想看一下而已,呵呵。结果很是出乎自己的意料,竟然是很戏剧性地拿到了WebShell,而且通过Google,N多的名牌网站都……都有哪些?先不告诉!且看下文。

二、友情检测过程

受近些年注入检测的思维定式的熏陶,我直接按照惯例在目标网站首页点击“产品展示”,然后再点击进入朋友中意的“XPS 14zd-118”产品介绍已做处理,请勿对号入座),将此链接复制粘贴到“阿D注入工具”的“SQL注入检测”中,点击“检测”按钮,结果“啊D”太痛快了,马上就提示“这个连接不能SQL注入!请试别的连接!貌似注入就成了死路一条。转而一想:也是哈,堂堂的Dell,哪能这么容易就被你搞啊(谁知很快我就推翻了自己的这个结论)?

对这个URL链接盯了一会儿,思考:难道会没有“洞洞”?注入失败,再试试扫描其开放的端口?还是到进行“同IP站点查询”来尝试旁注呢?正在犹豫间,忽然灵光一现,这链接中的“shopxp”字眼儿不就是传说中的“网上购物系统”么(哥在年前就过了英语六级的)?最为关键的是,以前好像看到过“ShopXP漏洞入侵”的教程!赶快翻看自己的笔记本(是真的用笔记录的本子啊),果然找到了曾经有个v8.O的ODay漏洞,那就试一下“大牛”的方法一一转换代码绕过防注,进行联合查询。将那串长长的漏洞利用代码(TEXTBOX2.AS P?action=mo dify&n ew s%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassw ord,4,5,6,7%20fro m%20sh opxp admm)附加在目标网站的域名。之后,放到360浏览器地址中访问,哈哈,太强了,一下就暴出了管理员账号及MD5加密密码):admin58a7696e059flbce!’在此需要多说一句:由于被暴出来的账号与MD5密码是连接在一起的,如果账号不是最为常见的“admin”,分开的技巧是从后面截取16位(或32位)MD5密码,那么剩下的前面字符就是管理员账号了。

接着,将这个MD5密码“58a7696e059flbce”拿到在线网站上进行破解,查询出结果是“cdyckj”。

再接着,就应该是到后台登录了,不过后台地址是什么呢?继续在笔记中翻找,系统默认的应该是“admin_shopxp/index.asp”,与域名组合成进行访问,“嘭”的一声,浏览器提示“无法找到该页”。咦?管理员“竟然”更改了?因为拿不到后台登录地址,即使你有账号和密码也是没什么威胁的。不过,既然管理员设置了这样的一个轻易就被破解的MD5密码,说明他的安全防护意识绝对强不到哪儿去,因此我们就没有理由找不到这个后台登录地址!虽然刚才的“啊D”表现不太给力,但用来找找后台应该还是有几分把握的。将URL链接扔到“管理入口检测”中,很快就出来了。复制粘贴到浏览器中访问,出现了欢迎界面,将账号、密码和验证码分别输入,点击“管理登陆”按钮,成功进入了后台管理界面。

走到了这一步,其实足已说明这个Dell的XX分站实在是与它响当当的名气不成正比。先不忙着退出,先大体看一下它的“管理中心”吧。嗯,有“商品管理”,应该可以上传JPG图片文件;也有“数据库备份”,拿WebShell的希望比较大!那就试一下吧,点击左侧菜单下的“商品管理”.“所有商品管理”,仍选择之前看中的“DELL戴尔XPS 14zd-118”商品,下方出现了一个在线编辑器。点击“插入图片”按钮,在弹出的对话框“图片文件:”处点击“浏览”按钮,选择之前已经将.asp扩展名修改为.jpg的52KB“马儿”,再点“上传”按钮,成功!不用使用“查看源代码”功能,网站直接提示了刚刚上传“图片”木马的相对路径:“uploadpic/20111023175256108.jpg”。将它附加到网站域名之后组合成“在浏览器中验证一下,显示出了ASP木马的源代码,说明的确是上传成功了,只是由于扩展名是JPG,所以现在还无法解析执行。下一步,当然是利用数据库的备份功能啦!

点击“管理中心”的“数据管理”一“数据库备份”,呵呵,管理员并没有作任何限制,直接出现了数据库的备份、压缩及恢复功能项。在最上面的“备份数据库”区域,先将第一项“当前数据库路径:”原来默认的“./shopxp/shopxp.mdb”替换成我们的图片木马相对地址“../uploa dpic/20111023175256108.jpg”,第二项“备份数据库目录:”处的“../Databackup”不用作修改,将第三项“备份数据库名称:”原来的“20111051574627971.asa”替换成“help.asa”(这个名字可以任意,随个人习惯而已,但建议使用与系统文件名称相似度较高的名字),OK,点击“备份数据”按钮。随即,我们就得到了“操作成功”的提示信息——“备份数据库成功,您备份的数据库路径为help.asa”!

接下来,就是见证奇迹的时刻!在浏览器访问我们的ASP木马,成功出现了要求输入登录口令的提示,将之前设置的密码“x*****g”输入到“Password:”处,再点击“Login”按钮,得到了这个Dell分站的WebShell。好了吧,就别再进行添加用户和3389等提权操作了吧,小心被JC叔叔请去喝免费茶。

三、那些基本不设防的“大牌”们

还记得之前埋下的“伏笔”么?对了,就是“都有哪些?先不告诉!”这句,呵呵。Dell的xx分站是这个样子的,再试一下YY分站。方法相同,结果暴出了“de1105717cc245f4e4038bcb”(账户是“de110571”),不过这个能稍微好点儿,因为MD5加密密码“7cc245f4e4038bcb”未能被免费跑出来。由此我又找了若干个名牌网站,发现了都存在同样的漏洞,现通报结果如下:

万利达的:admin2392eeaef667c137(不用分了吧?),付费查询的MD5记录;索爱的ZZ分站的:michaelzffe20657a03a8c8e7fef3893ebdaaffb,这个是32位的MD5密码,也是一条付费查询记录:金伯利钻石的XX分站(的:admin8cbd73ad37eceebe,付费记录;安利的XX分站的:admin08ac91096c21fdc0,这个MD5密码没查到。

当然,“大牌”们尚且如此,那些“小”站们更不用说了,像X星苑、xx速冻食品、义乌xx玩具、CG教学XX字幕及XX影视基地等等,都在相同的地方纷纷落马,令人唏嘘不已!

四、后记

本来想给Dell的XX分站管理员发封E-mail的,但忽然想起N多年前曾经也有过类似的举动,可惜管理员根本就把网站首页上挂的信箱当摆设,半年之后再造访竞仍然未作修补!于是直接联系在线客服的QQ,结果四个都不在线;好在一个多小时之后,其中的一个来联系我,于是将自己的发现告诉了她。到这里文章就到此结束了,危险漫步提醒各位站长管理人员,及时修补漏洞至关重要,不然公司机密泄露是很严重的事情!