【实例】网站入侵检测

昨天手痒，GOOGLE搜索一下后随便找了个站点：湛江广告网玩玩~

好，我们点开http://www.gdadd.com/看看，该站点是ASP所写。

看了看代码，觉得可以溢出，但照旧由简单开始，找到后台地址：

http://www.gdadd.com/Admin_Login.asp

根据人体工程学理论，一般警惕性不高的管理员也许不会更改默认管理员帐号admin，就由ADMIN帐号

来开始测试密码吧~由管理风格猜测该管理员也许是1970年-1975年生人，确定由生日入手估计会是6位

数密码，开始猜解，，，测试了9个密码后第10个就中了：711117。哈哈~BINGGO~！

登陆进后台一看，是个普通管理员帐号，呵呵~也足够了。挂马、提权，得到高级管理员帐号密码

（这里就不公开了）。呵呵~~再进一步提权，得到服务器管理员帐号密码（足以管理该服务器上所有站点了）也发现了其他站点一样存在各种漏洞。

退出前清除所有进入记录，退出。写了封信告诉该站点管理员安全漏洞。

从这次检测我们看到，其实有很多站点是不注重网络安全的，帐号密码设置过于简单，使有兴趣的人非常

容易就可以入侵，再就是，如果你的站点同个服务器的某个站点出现安全漏洞，你的站点也一样有被入侵

的危险。另：该站点也被成功溢出，结果一样。

注意：以上帐号密码直到现在仍可以登陆进去，请想进去玩玩看看后台是什么的朋友不要搞破坏。

声明：本测试只为了讨论技术而非破坏，如有利用该测试结果者与鱼子酱无关。

本文首发：澳门渔乐网，如需转载请注明出处，谢谢。

鱼子酱	2006-01-03 14:29
白写了，没人看

kin	2006-01-03 15:43
有人看,不過唔識!!

鱼子酱	2006-01-03 15:50
晕倒，这样写最浅显了啊

fatfatfat	2006-01-03 16:24
能教一教怎樣令它溢出嗎?

鱼子酱	2006-01-03 16:57
更正一下：本文说到的溢出该是注入。基本的东西有些资料，但有兴趣的朋友不是很多，要不要发出来？

鱼子酱

2006-01-03 17:07

ASP可运行的服务器端平台包括：WinNT、Win2k、WinXP和Win2003，在Win98系统里装上PWS4.0也可运行。

现在很流行的注入攻击，就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行，使入侵者达到入侵的目的。随着有一些脚本注入工具发布，使菜鸟也可以轻松完成对ASP的注入攻击。那么我们来了解一下这些工具是怎样注入的。
首先，入侵者会对一个网站确定可不可以进行注入，假设一篇新闻(文章)的地址为：http://www.xxxx.com/news.asp?id=1 一般会以提交两个地址来测试，如：
http://www.xxxx.com/news.asp?id=1 and 1=1
http://www.xxxx.com/news.asp?id=1 and 1=2
第一个地址后面加了and 1=1，构成的SQL语句也就变为了：Select * from 表单名 where id=1 and 1=1这句话要成立必须and前后语句都成立。那么前面的文章地址是可以访问的，后面的1=1也是客观成立的，那么第一个地址就可以正常显示；相反1=2是显然不成立的，关键就看这步了，如果提交and 1=2页面还是正常显示说明他并没有将and 1=2写入SQL语句，此站也就不存在注入漏洞；但如果提交and 1=2之后返回了错误页面则说明此站点将后面的语句带入了SQL语句并执行了，也就说明他可以进行SQL注入。（注：如果地址后面跟的是news.asp?id='1'就得变为news.asp?id=1' and '1'='1来补全引号了）
现在知道了可以注入后，入侵者可以做什么呢？如果提交这样的地址：
http://www.xxxx.com/news.asp?id=1 and exists (select * from 表名 where 列名=数据)
根据返回的正确或错误页面来判断猜的表名和列名是否正确，具体实现时是先猜表名再猜列名。当猜出表名和列名之后还可以用ASC和MID函数来猜出各列的数据。MID函数的格式为：mid(变量名,第几个字符开始读取,读取几个字符)，比如：mid(pwd,1,2)就可以从变量pwd中的第一位开始读取两位的字符。ASC函数的格式为：ASC（"字符串"），如：asc("a")就可以读出字母a的ASCII码了。那么实际应用的时候就可以写为：asc(mid(pwd,1,1))这样读取的就是pwd列的第一个字符的ASCII码，提交： asc(mid(pwd,1,1))>97以返回的页面是否为正确页面来判断pwd列的第一个字符的ASCII码是否大于97（a的ASCII码），如果正确就再试是否小于122（z的ASCII码）……这样慢慢缩小字符的ASCII码的范围，直到猜到真实的ASCII码。这样一位一位的猜就可以得到数据库中的用户名和密码。还有一种ASP验证缺陷——就是用户名和密码都输'or '1'='1，构造SQL语句Select * form 表单名 where username='' or '1'='1' and pwd='' or '1'='1'就可以达到绕过密码验证的目的。

鱼子酱	2006-01-03 17:10
介绍下什么样的站点可以入侵：必须是动态的网站，比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧(入侵几率几乎为0) 方式主要有：1 上传漏洞；2 暴库；3 注入；4 旁注；5 COOKIE诈骗。

甲骨文	2006-01-03 17:20
高手~

鱼子酱	2006-01-03 18:23
我不是高手啊只想找个人探讨下罢了

1魚	2006-01-03 21:43
咁複雜~睇唔明???

鱼子酱

2006-01-03 22:52

呵呵~以前我也是不太明白，

但这是用最容易理解的方法写的了，没有涉及更多的专业名词术语。

或许渔乐网的高手不愿意出招，所以只有抛块砖头出来试试了......

一句话总结：这个被测试的站点如果要黑的话早黑掉了，它存在严重漏洞。

只是现在我已经不随便黑站点了，兴趣也只是钓鱼和限于检测网络安全及技术性研究探讨。

我不是黑客（骇客）。

hack2005	2006-01-04 02:41
假如我前台的管理员是伪装的,您猜到密码都没有用,普通会员一名,始创人也把他伪装成普通会员,看您怎样猜

hack2005

2006-01-04 05:57

测试过此版本的论坛短信内容处没有做好细致的过滤,导致跨站脚本漏洞攻击的产生,使得
用户可以得到管理员的COOKIE 信息.从而进一步危害论坛.
漏洞利用:
这里以本地架设的论坛为例架设好后启用勋章中心功能好了开始跨站只旅吧点击颁发勋章（有足够的权限）
用户名任意（这正是可怕只处啊任意会员挂马啊）勋章随便操作理由那里随便输入跨站代码一个字都没过滤比如 <script>alert("跨站测试")</script> 点提交我这里是颁发给自己刷新后立即有消息来了当然是颁发勋章的消息了

请尽速关注!

fatfatfat

2006-01-05 11:07

引用
下面是引用hack2005於2006-01-03 09:57發表的:
测试过此版本的论坛短信内容处没有做好细致的过滤,导致跨站脚本漏洞攻击的产生,使得
用户可以得到管理员的COOKIE 信息.从而进一步危害论坛.
漏洞利用:
这里以本地架设的论坛为例架设好后启用勋章中心功能好了开始跨站只旅吧点击颁发勋章（有足够的权限）
用户名任意（这正是可怕只处啊任意会员挂马啊）勋章随便操作理由那里随便输入跨站代码一个字都没过滤比如 <script>alert("跨站测试")</script> 点提交我这里是颁发给自己刷新后立即有消息来了当然是颁发勋章的消息了
.......

你是說收到短訊內容這裡一字都沒有過濾嗎?
操作:admin
理由:<script>alert("跨站测试")</script>

我還未了解危險性在那裡,能再詳細點告知嗎?感謝

1魚	2006-01-05 11:24
原來真的是存在很大的漏洞,透過勋章中心功能便可寫入木馬,昨天pw發佈了新的程序,昨晚己update過了

犬齒鮪	2006-01-05 14:21
真是完全不明白你們說什麼..............

鱼子酱	2006-01-05 16:39
阿肥，来这里玩玩。。。岁月联盟——一个黑客培训站 http://www.syue.com/shell.asp 把你养的马马带到这里放牧吧~呵呵~~~

鱼子酱	2006-01-05 16:42
关键敏感字符没过滤的话就可以挂马了~ 呵呵~~~~ 这个倒是没有测试，给HACK2005先发现了~呵呵 ~~~

1魚

2006-01-05 17:30

謝謝hack2005提點~1月2號看了發帖後立即進入pw技術支援論壇找資料,原來真的存在這個問題,很多站長正在評論這個漏洞,然後,把我們的論壇測試,果然如所說的情況,開了大門一個多月都不知道,幸好我們不是知名網站,沒值錢東西偷,所以立即關閉了勛章中心,和評分的頭銜提高,至昨天晚上,技術支援中心發佈了新的預防程序,我們論壇今早零晨立即全部文件更新了

fatfatfat	2006-01-06 02:03
我還在用v3.0.1,也有這個問題的嗎? script也沒有被陷入呀 <script>alert("跨站测试")</script>

1魚	2006-01-06 02:22
自己試一下找一個自己發的帖,然後評分,在理由中寫入 <script>alert("跨站测试")</script> 等,當上傳完成後,收取自己發的訊息時,看看有沒有彈出"跨站测试"的警告視窗就知道??

查看完整版本: [-- 【实例】网站入侵检测 --] [-- top --]

Powered by PHPWind v7.5 SP3 Code ©2003-2010 PHPWind
Time 0.015523 second(s),query:4 Gzip disabled

You can contact us