一次利用漏洞完成的入侵.docVIP

一次利用漏洞完成的入侵 一、前言。 初识飞骋似乎还是2002年，那时它推出了一个似乎叫飞骋邮局的东西，提供280M的空间(在当时算很大了)，当时学SQL Injection的时候，曾用它练过手，现在这个站发展的不小，于是再对它作次安全检测吧，发现漏洞漫天飞舞啊，而且很有意思，整个网站哪个栏目的系统都是各有特色，有.net的，有php的，还有asp的，真不知道他们是多少个人一点一点拼着开发起来的，而且他们用什么样服务器，怪啊～其实由此就可以看到他们的技术不专业性。从检测的结果来看，漏洞出的都很幼稚，好了，捡我发现的一些比较典型的漏洞给大家逐个介绍下(注入的漏洞就不说了吧，因为猫猫懒得找注入点了，大家可以自己找找看，有很多的，但是错误提示是关闭的。)，争取能包含大部分常见网站程序漏洞吧。 二、网站程序漏洞介绍。 玄猫的习惯是先从系统功能来看，这个地方出的漏洞一般都是比较危险的。 1、取回密码验证不严导致可以修改任意用户的密码漏洞。 人在江湖走，难免忘密码，找回密码功能当然是现在涉及会员管理的网络程序的”标配”了，但是找回密码功能容易出现一个大的纰漏就是验证不严，我们来看： 注册一个用户名为BlackCat的用户，然后点击首页的”忘记密码”按钮找回密码，看程序的流程，先是输入用户名，然后是填写提示问题的答案，然后就是修改密码了(读者：又一个用废话骗稿费的)。我们把这个第三步的页面保存下来，用UltraEdit打开看源代码，读到118行的时候，我们看到这样一行代码input name=g_username id=g_username type=hidden value=blackcats /为了照顾不懂Html的读者，我讲下这段代码的含义，这是一个隐藏的文本域，值为blackcats，即我们要找回密码的用户名，因为隐藏域在网页上是不显示的，所以许多程序员都用它来传递参数，但是这里用这种方法就导致了一个极其严重的漏洞，为了方便讲解，我们再注册一个叫”BlackWoods”的用户，密码设为123456。注册成功后，我们来修改保存到本地的网页文件，把value=”blackcats”改为value=”BlackWoods”，然后把文件第93行的action=getpassword_2.aspx改为action= http://www.fc****.com/reg/ getpassword_2.aspx，打开这个网页，在输入新密码的地方输入654321，然后提交，显示修改成功，我们用123456的密码登陆用户BlackWoods会发现密码错误了，再用654321登陆，成功，这就是严重的由于验证不严导致的随意修改用户密码的漏洞。 再来看它提供的服务有哪些漏洞。 2、网络曰记内容跨站漏洞。 首先来看曰记服务，一般来说对于像曰记这种一个人写，N多人看的东东，我们要考虑的就是XSS跨站漏洞了，(千万不要小看跨站，我觉得辐射鱼在这方面颇有研究，他经常能提出除了盗cookies的更强的利用方法，譬如直接利用管理员的表单来进行一些操作，大家可以看看以前的杂志)。在下面的内容中，我们试着用代码sc太阳ptalert(“玄猫啊玄猫，玄猫要高考咯”)/sc太阳pt来测试能不能在页面上运行我们的Javasc太阳pt脚本。 我们打开一个写曰记的页面，先测试内容能不能写跨站脚本，曰记标题随便写，内容写个sc太阳ptalert(“玄猫啊玄猫，玄猫要高考咯”)/sc太阳pt，然后去看看，不难看到，我们写的sc太阳pt被替换成了s c太阳pt，(图一) 中间多了个空格，再来改变大小写试试，内容写Sc太阳ptalert(“玄猫啊玄猫，玄猫要高考咯”)/sc太阳pt，还是不行，看来要想个变通的方法了，我们找找还有哪些是可以输出的，对了，标题，可是有的朋友会有疑问，标题就让写10个字，不够啊，我们再来把文件保存到本地，研究form的验证：232行有个FORM id=frmAnnounce name=frmAnnounce 的代码，不难看出，这个onsubmit触发的函数就是检查标题字数的代码，我们删掉onsubmit=”return checkform();”，然后把action补全，标题内填入sc太阳ptalert(“玄猫啊玄猫，玄猫要高考咯”)/sc太阳pt，内容随便写些东西，提交，在随后刷新出的页面里，优雅得弹出了我们的对话框，跨站成功。(图二) 3、曰记本介绍跨站漏洞。 在登陆曰记管理后，总是显示一个页面要填写曰记介绍，我们不妨在这里写个跨站代码，这样别人浏览我们的曰记本的时候就会执行了。 4、随意以任何用户身份添加曰记漏洞。 老用UE面对一些枯燥的代码未免有些不爽，于是我又用DreamWeaver打开保存在