论文部分内容阅读
PHPwind是一个被广泛应用的论坛程序。4月6日傍晚,PHPWind论坛的一个漏洞被发现,瞬间就在互联网中爆发开来,一场血雨腥风就这样迅速波及整个互联网。
入侵
2007年4月7日凌晨,笔者常去的“掌机天堂”论坛被黑客攻击。黑客使用工具盗取了多位总版主账号,获取管理员权限进入网站的系统后台,强行关闭了“掌机天堂”网站,还对网站首页进行了修改。最可恨的是,黑客删除了将近5300名普通会员的ID账号,以及“掌机天堂”建站两年来几个GB的全部的论坛附件,并且强行跳转网站到某个同类网站。
然而,“掌机天堂”并不是惟一的受害者,很多PHPWind论坛都被入侵,有的被挂上广告,有的被挂上网页木马,有的数据库被删除。此次漏洞,让很多过把黑客瘾的人都爽了,可是剩下的却是许多倒霉的站长。
由此可见,这个PHPWind漏洞的危险程度之高、破坏力之强。那么到底是什么漏洞可以达到这样的破坏能力呢?
案情重现
这个漏洞是由于Require文件夹中的一个文件过滤不严格造成的,攻击者可以任意修改别人的账号密码。利用漏洞的工具先于漏洞公布,也是造成这次PHPWind论坛大面积被入侵的主要原因。
Step1首先,要找到使用PHPWind论坛的网站。这个好办,只要搜索“Powered by PHPWind 5.0”关键字,就能找到大量使用PHPWind论坛的网站。当然你也不用进行搜索,一些此漏洞的利用工具中就提供了大量使用PHPWind论坛的网站链接,比如“PHPWind 5.xExploitsI具”。
Step2从文件列表中任意的选择一个网站链接,接下来运行“PHPWind5.x Exploits工具”,利用工具分为CMD界面和GUI界面两种。我们这里选择CMD界面,因为真正的黑客都是在命令行下进行操作的。
打开命令提示符窗口,执行命令:pw5expcmd.exe.url(网站链接)即可检测出该PHPWind论坛是否存在这个漏洞。如果检测到漏洞存在的话,就会出现“Ok!I Find bugs AND readv to Expljit”这样的提示语句。
Step3在IE中访问这个论坛,从管理员列表中查找可以利用的管理员账号。切换到命令提示符窗口,执行命令:pw5expcmd.exe url用户名。如果成功,就会出现“The user add 0r password ischanged succeed”的提示,表示已经创建了一个管理员账号,默认密码改为123456。执行命令:pw5expcmd.exe.url用户名密码,可以修改掉该账号的密码。
Step4随后用这个管理员账号登录论坛,如果该账号可以管理后台,那么就可以点击“系统设置”选项登录到后台,这样黑客就可以对网站数据库进行任意的管理设置。黑客还可以可以上传PHP木马从而得到一个WebShelll,然后通过WebShelll进一步提升权限便可以控制整个网站。
修补方法
首先从官方网站下载PHPWind5.x安全补丁(http://www.phpwind.com/download.php),解压后将补丁里的upload文件夹覆盖网站论坛中的这个目录即可;接着马上使用论坛创始人账号密码进入后台,再立即修改创始人的密码,并检查是否有可疑的论坛管理员;如果发现后台进不去,可以使用论坛创始人密码修复工具进行一键修复;如果发现中了网页木马等恶意程序,需要进入后台查看广告管理是否被人加了iframe或js代码,并使用安全检测工具对站点进行安全检查。
入侵
2007年4月7日凌晨,笔者常去的“掌机天堂”论坛被黑客攻击。黑客使用工具盗取了多位总版主账号,获取管理员权限进入网站的系统后台,强行关闭了“掌机天堂”网站,还对网站首页进行了修改。最可恨的是,黑客删除了将近5300名普通会员的ID账号,以及“掌机天堂”建站两年来几个GB的全部的论坛附件,并且强行跳转网站到某个同类网站。
然而,“掌机天堂”并不是惟一的受害者,很多PHPWind论坛都被入侵,有的被挂上广告,有的被挂上网页木马,有的数据库被删除。此次漏洞,让很多过把黑客瘾的人都爽了,可是剩下的却是许多倒霉的站长。
由此可见,这个PHPWind漏洞的危险程度之高、破坏力之强。那么到底是什么漏洞可以达到这样的破坏能力呢?
案情重现
这个漏洞是由于Require文件夹中的一个文件过滤不严格造成的,攻击者可以任意修改别人的账号密码。利用漏洞的工具先于漏洞公布,也是造成这次PHPWind论坛大面积被入侵的主要原因。
Step1首先,要找到使用PHPWind论坛的网站。这个好办,只要搜索“Powered by PHPWind 5.0”关键字,就能找到大量使用PHPWind论坛的网站。当然你也不用进行搜索,一些此漏洞的利用工具中就提供了大量使用PHPWind论坛的网站链接,比如“PHPWind 5.xExploitsI具”。
Step2从文件列表中任意的选择一个网站链接,接下来运行“PHPWind5.x Exploits工具”,利用工具分为CMD界面和GUI界面两种。我们这里选择CMD界面,因为真正的黑客都是在命令行下进行操作的。
打开命令提示符窗口,执行命令:pw5expcmd.exe.url(网站链接)即可检测出该PHPWind论坛是否存在这个漏洞。如果检测到漏洞存在的话,就会出现“Ok!I Find bugs AND readv to Expljit”这样的提示语句。
Step3在IE中访问这个论坛,从管理员列表中查找可以利用的管理员账号。切换到命令提示符窗口,执行命令:pw5expcmd.exe url用户名。如果成功,就会出现“The user add 0r password ischanged succeed”的提示,表示已经创建了一个管理员账号,默认密码改为123456。执行命令:pw5expcmd.exe.url用户名密码,可以修改掉该账号的密码。
Step4随后用这个管理员账号登录论坛,如果该账号可以管理后台,那么就可以点击“系统设置”选项登录到后台,这样黑客就可以对网站数据库进行任意的管理设置。黑客还可以可以上传PHP木马从而得到一个WebShelll,然后通过WebShelll进一步提升权限便可以控制整个网站。
修补方法
首先从官方网站下载PHPWind5.x安全补丁(http://www.phpwind.com/download.php),解压后将补丁里的upload文件夹覆盖网站论坛中的这个目录即可;接着马上使用论坛创始人账号密码进入后台,再立即修改创始人的密码,并检查是否有可疑的论坛管理员;如果发现后台进不去,可以使用论坛创始人密码修复工具进行一键修复;如果发现中了网页木马等恶意程序,需要进入后台查看广告管理是否被人加了iframe或js代码,并使用安全检测工具对站点进行安全检查。