| 关键词: nbsp 大图 asp 分析 http 截图 www bbs 阿道 cnbd |
作者:阿酷 来自;酷客天堂 今天凌晨简单分析了保钓网被黑的原因,http://www.coolersky.com/web/news/20041008044828.asp,文章被转载到黑基后,有网友回复“笑死了”,估计是我分析的不对!呵呵 中午见到大学生黑客联盟的站长,要了个第一次被黑的截图,因为没有经过他的同意,我就不发布出来了。说到这里,我就闲扯两句。 就我个人对学盟站长的了解,以及学盟的公告http://www.coolersky.com/web/news/20041008024527.asp,我觉得是学盟的可能性太小,平心而论,估计国内敢黑了保钓网而把自己组织及qq号留下的不多!而从早上开始学盟的网站http://www.stuhack.com/就被dos,我分析有两种可能性,一种是那个小将攻击学盟,让别人看不到学盟的公告?不太可能吧!那么就剩下出于爱国心,攻击学盟的了,我欣赏你们的爱国激情,但是是不是应该仔细考虑一下再攻击呢?好了,言归正传,还是来说保钓网被黑的事情。 在学盟站长给我的截图看,页面路径是http://www.cnbd.org/bbs,也就是第一次被黑的页;而我在多次向另外一个当事者确认入侵方法的时候,一直没有得到明确答复,每个人都有些自己的一些难言之隐,我也不方便勉强人家。看来还是自己分析一下吧,本来下午要去见客户的,推掉了! 打开http://www.cnbd.org/bbs,黑页,截图如下: 看大图 根据当前状况,我决定把分析重点放在保钓网内部,确切的说,凌晨在分析的时候,简单测试了一下,自我感觉应该不会存在程序漏洞,就把重点放在了网站外部,当然也拿到了一些权限,只要有时间,还是可以入侵的。 测试了几个页面 http://www.cnbd.org/bbs/login.asp http://www.cnbd.org/bbs/list.asp?boardid=2 http://www.cnbd.org/bbs/admin_index.asp 都反馈“数据库连接出错,请检查连接字串。” http://www.cnbd.org/bbs/conn.asp 以下内容为程序代码:Microsoft VBScript 运行时错误 错误 '800a01f4' 变量未定义: 'Cls_Forum' /bbs/conn.asp,行17 应该是动网的坛子,但是数据库连接都失败了,而且前台页面的论坛连接都是失效的,看来继续测试意义不大;回到前台,分析页面参数的传递,作了一些过滤,注入的可能性不太大;无意看到了站内搜索部分“搜索文章”,简单测试,反馈 以下内容为程序代码:Microsoft JET Database Engine 错误 '80040e14' 语法错误 在查询表达式 'istop=0 and isNews=0 and Title like '%'%' order by News_id desc' 中。 /newsMore.asp,行56 对注入熟悉点的,都知道问题了吧,我就不详细说了,没什么技术含量,另外会教坏小孩子。获得后台权限,登陆后台截图如下: 看大图 看大图 接着就下班了,刚好朋友明天去上海,还要饯行,剩下的是阿道作的,拿了个webshell,细节我就不多说了。 大概管理员被炒了,要不就是国庆放假放的太爽了,这么长时间也不恢复,都是干什么吃的!还是我来帮你吧,恢复index.asp,因为没有原文件,就把xiaoshi.asp拷贝了一份给index.asp,总比原来好点吧;恢复bbs/index.asp,留了一句“论坛维护中... ”。恢复后截图如下: 看大图 看大图 上传的东西我已经清理干净了,剩下的就是管理员的事情了!希望你早点收假回来!另外拜托那些比较无聊的小朋友,如果有兴趣去搞搞“靖国神社”什么的,别拿自己的站点开涮,除了显示的浅薄之外,不会给别人留下任何印象! 我不知道前面的的是不是通过这个漏洞实现的,据学盟站长说可能是通过bbs作的,为了不挨骂,我就不肯定也不应该了,呵呵!毕竟没有得到原始的入侵过程,不敢断定了! 再次感谢阿道与无言的帮助! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|