危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18791327

国内企业站点CMS漏洞解析

现在越来越多的中小企业都加入到电子商务浪潮中,企业在网络中建立了展示销售平台,在由网络带来便利的同时,也带来了网络的另一面——网络信息安全。

一、国内网站制作的现状

目前,我们经常在网络上看到800元建站、500元建站之类的广告,在外行人看来,800元建立的网站和我花4000元建立的网站好像没多大的区别,但内行人一看就知道其中存在的猫腻,一个网站从开始策划立项到最后的测试上线,花的时间至少也要半个月。加上其中的美工设计,后台的程序编写,程序功能测试,到最后的完成上线,所花费的人力物力又是多少昵?如果按照一个网站800元计算,不算域名和空间费,一个月开发两个网站,也就是1600元,这样下来,我们的网页设计制作人员只能喝西北风了。

于是,为了节约成本,程序那部分也就省了吧,反正网络上到处都有源码下载,至于美工,看得过去就行了吧,反正网络的资源都共享,改几个字又可以忽悠一个客户。800元?不,800元不收你的,500元就可以。什么?网络安全?只要客户将钱交完了,谁爱黑就去黑吧。作为我们的企业客户,看到自己企业的网站上线,似乎就以为自己进入到电子商务时代了,到网站出了问题的时候,当初说客户就是上帝的设计师,现在反而变成上帝了,这样的事情在我们身边并不少见,下面我以一些案例去说明。

我们来到某个国内著名的设计网站,可以看到有很多制作得非常棒的站点,大多以FLASH站和ASP为主,可以说是精晶中的精品。但我们现在不是要寻找灵感,而是要测试它们的安全性,随便点击一个进去。

我们知道在大多数的企业网站底部都可以找到网站的设计者的链接,我们点链接来看下——厦门某科技有限公司。进入到官方主页来看对方的案例,发现都是美工极佳的酷站,如果在安全方面也没什么大问题的话,那可绝对就属精品中的精品了,我们在检测之前先对其案例进行大概的浏览,发现后台登录地址都是一样的,都是/admidlogin.asp这样的链接,站点我们欣赏的差不多了,那就开始检测吧。

漏洞一

选择一个目标,比如暴龙太阳镜,程序语言使用的是asp,后台登录地址和上面分析的一样,我们先对目前动态网站最有可能存在的SQL注入漏洞进行检测,检测结果表明基本的注入漏洞都已经进行了防范。

既然注入这条路已经被封锁了,那是不是就没有办法了呢,来尝试一下社会工程学吧,猜一下弱口令,来到后台登录界面,利用常见的用户名admin和密码admin888进行测试,发现已经改了默认密码。就在最后准备放弃的时候,想到了以前最常见的登录验证漏洞——万能密码“or”=“or”,我们现在面对的这个后台登录界面看起来做的如此专业并且还有验证码,是否也存在这个漏洞呢?经过测试答案是肯定的,我们成功的登录了进去。同时还发现其默认的登录帐户为admin,默认密码是123456,再经过测试发现该公司的案例中基本都存在此漏洞。

漏洞二

进入了后台,我们要拿WEB权限就简单的多了,经过测试发现其后台都使用了ewebeditor编辑器,该编辑器的功能非常强大。找到编辑器的登录界面,添加木马的ASP后缀,这样就可以上传木马成功获取WEB权限,但遗憾的是编辑器后台管理的路径被删除或修改,而且数据库路径也被修改了,暂时打断了我们前进的步伐,但是在后台看到有一个“文件上传管理”的链接,点击后可以查看具体上传的文件,记得以前的文章中曾经提到过当ewebeditor的数据库为只读的时候,我们可以通过上传文件管理来列目录的办法查看网站的文件,不知道这里是否存在这样的漏洞,来测试一下吧,可以看到漏洞确实存在。

漏洞三(人为漏洞)

编辑器的登录地址被修改了而没有被删除,这样我们后台拿WBE权限的希望又出现了,但是当我满怀希望使用默认的密码登录时发现密码是错误的,数据库的路径被修改了,真是困难重重啊,但是难不倒我们,不是还可以列目录吗! 

找到数据库的路径,然后下载数据库,再破解MD5密码即可。当我们查看数据库时,发现用户名和密码都是MD5加密过的“9cc197539d872b23”,但是拿到号称最强大的MD5查询网站上进行破解的时候,结果返回的是Not found,本着检测的原则,到这里就应该结束了,但是本着黑客不达目的不放弃的原则,我的破解欲望再次被激起了,暴力破解?不,我们还可以利用社会工程学呢。

来分析一下,登录的地址是adminlogin_zyt.asp,是在正常地址的后面加zyt,那密码是否也是这样的组合呢,幸运女神再次降临,测试adminzyt加密后的结果就是9cc197539d872b23,终于登录进去了,通过修改上传的类型,成功的拿到了我们想要的webshell。   

漏洞四

进入我们的WEBSHELL查看源代码,发现在admin目录下存在一个1.asp文件。

学习过ASP的朋友一看就知道是怎么回事了,直接不用验证而是访问这个文件就直接session赋值而进入到后台,呵呵,这个应该是程序员为了方便而留在上面的吧,但在站点投入使用后却没有被删除,此为漏洞四。

漏洞五

既然我们可以看到源码了,那就黑白盒一起来测试,我们回到后台,发现有一个备份数据库的地方,以往的经验告诉我,这个地方很多时候都可以被利用,但是经过测试后发现,可以定义数据库的路径却无法定义数据库的后缀。

这也就意味着我们即使是上传木马通过数据库还原得到了木马,但依然是没有办法拿到WEBSHELL,但是在测试别的案例中却发现有部分后缀是ASP,这也就为我们获得WEB权限提供了可能性,最后使用数据库还原的办法就可以拿到我们想要的WEBSHELL了。这个算不算是漏洞呢,如果算是的话,那就是漏洞五吧。

综上所述,要拿下其它站点的后台或SHELL应该不难了吧!

二、对企业的提醒与建议

目前的设计公司大多都有自己进行开发的网站系统,将企业网站常用的一些模块写好后,再根据客户的需求对网站进行整合,这样的做法节约了开发时间,降低了成本,为整个网络的发展起到了一定的促进作用,但是企业网站的安全是否能得到保障呢?

企业客户大多都是普通的网络使用者,对于安全的知识是非常缺乏的,更何况涉及到程序语言的安全,或许有人会这样认为,小企业网站一个,谁爱黑就黑去,也没什么损失,但是要知道,一个网站就是一个企业的面子,难道你的脸总喜欢被人在上面乱画东西吗?

我曾经做过这样的测试,将一公司的站点入侵后,对其代码进行大概浏览,知道其程序的BUG后,去网站的设计公司查看其它案例,发现80%都有同样的问题。于是,不到一个小时的时间就拿到了20多个网站的SHELL,其中不乏国内的知名企业。

本文的意义并不在于讨论入侵本身的技术,只在于提醒那些企业网站的建设者们,增强安全意识,不要因为把网站的制作外包给一些设计公司,就可以高枕无忧了。