文/ABEND@XUST 西京大学网络安全小组
黑防推出vip了,值得庆贺。像黑防这样的站,如果搞起来vip,一定比较好做,因为毕竟一开始就是有经济基础的。偶这样的穷学生也刚好跟着进去浑水摸鱼了一把。社会工程学的应用文章baidu上也是一堆一堆的。偶再来说几句吧。
先看看我们的目标:
www.hacker.com.cn/vip
www.hacker.com.cn/vipbbs/
www.hacker.com.cn/vipdown1
www.hacker.com.cn/viparticle/
动网论坛,vip系统未知,需要在vip目录下登陆.登陆后可以看见vip的内容。都是asp的。
分析vip系统,最常见的都是登陆页面那里,登陆成功后,加上session值,然后在每个页面验证一次,或者包含<!–#include file="conn.asp" –>进去。这样的设置,也就是说我们只能从注入,或者拿shell,或者绕过(’or’’=’一类),或者破解。
看看黑防的防御,发现前几种比较“奢望”,还是破解来得“实在”些。要破解,就得“有的破”,简单点就是,你得有用户名才好破密码啊。黑防本身是搞安全的,总不会把用户名列表作个连接给我们的。就像黑防里面的一个帖子回复一样“vip用户名列表应该保密的.否则会造成弱密码一类的问题…”。
第一个漏洞,版面文章题目可见。
不过他说归说,具体做了没有,还是得去看看。动网论坛不是有用户名列表么?就从这里入手吧。
果然vip论坛不让注册,里面的发贴、浏览,只能是vip做的。发现黑防挺坏的,故意让我们看看帖子名称,不让看内容。可惜他们忘了,看见版面里的帖子,就等于看见了帖子的作者,和帖子的最后回复。这不就有用户名列表了么?
—
后面这张是帖子后面的作者和最后回复,这么清晰的用户名列表。偶不贪心,搜集一点,先进去vip论坛晃晃,毕竟vip论坛和vip文章不是一个登陆口。当然很多人都是用同一个密码。弱密码么,也就是什么123456、用户名就是密码一类的。加入vip的都是初学者,防范意识不强,一般都比较好猜的。我可不敢乱公布,大家自己动手吧。
进去以后第一件事情是做什么?(不知道有读者猜到没有。。。)
第二个漏洞,用户名列表可见。
嗯,聪明点的或者那些老江湖都知道,为了长期生存,为了下次能进来,还是多搜集些比较好,这次可以看见完全的用户名列表了。
这么多人啊,看来黑防真的发财了,一定不介意我继续检测下去吧?先搜集上七八十个人,按照页面来,从最后往前(因为最前面的会变),每天进来溜达的时候搜集上十页八页的。已备“后患”。。。阿编可别吐血,我还真的这么搜集了。这个也是经验,去年某国内著名网站弄会员,偶就干过类似的事情,后来漏洞添补,会员到期,后悔了半天啊。。。
第三个漏洞,论坛验证代替vip文章软件浏览验证。
当时发现了一些个小bug,也可能我的问题,如果登陆选择不保存cookies,就会看不到论坛文章内容。所以我只能选择保存一天。
论坛看够了,就看看vip文章,和vip软件吧,毕竟这个才是目的。当时想的是靠着有些用户会员登陆和vip论坛密码一样。因为毕竟是同一个站点很少人会好几个密码,麻烦。
黑防也是替用户着想。可惜这么一懒,应了两句话“方便的就是不安全的”,“安全和应用总是成反比的”。刚一打开www.hacker.com.cn/vip目录,发现页面好像变了,虽然登陆框还在,不过里面的内容有所不同。原来我在论坛登陆的同时,也符合了文章和软件页面的验证,所以才出来这种情况。
看这个页面奇怪不?正常的vip登陆应该在左侧登陆口出现到期时间和注销。好在已经可以浏览vip的全部东西了。除了还没有做好的目录以外,文章,软件,攻防实验室,都可以看到。
这篇文章技术含量的确不高,不过说明了一些小问题,做安全的时候,不能仅限于一层防线,应该时刻假设别人已经占领了前面的防线,然后再来做后面的防御。
0 条评论。