現在越來越多的中小企業都加入到電子商務浪潮中,企業在網絡中建立了展示銷售平臺,在由網絡帶來便利的同時,也帶來了網絡的另一面——網絡信息安全。
一、國內網站製作的現狀
目前,我們經常在網絡上看到800元建站、500元建站之類的廣告,在外行人看來,800元建立的網站和我花4000元建立的網站好像沒多大的區別,但內行人一看就知道其中存在的貓膩,一個網站從開始策劃立項到最後的測試上線,花的時間至少也要半個月。加上其中的美工設計,後臺的程序編寫,程序功能測試,到最後的完成上線,所花費的人力物力又是多少暱?如果按照一個網站800元計算,不算域名和空間費,一個月開發兩個網站,也就是1600元,這樣下來,我們的網頁設計製作人員只能喝西北風了。
於是,為了節約成本,程序那部分也就省了吧,反正網絡上到處都有源碼下載,至於美工,看得過去就行了吧,反正網絡的資源都共享,改幾個字又可以忽悠一個客戶。800元?不,800元不收你的,500元就可以。什麼?網絡安全?只要客戶將錢交完了,誰愛黑就去黑吧。作為我們的企業客戶,看到自己企業的網站上線,似乎就以為自己進入到電子商務時代了,到網站出了問題的時候,當初說客戶就是上帝的設計師,現在反而變成上帝了,這樣的事情在我們身邊並不少見,下面我以一些案例去說明。
我們來到某個國內著名的設計網站,可以看到有很多製作得非常棒的站點,大多以FLASH站和ASP為主,可以說是精晶中的精品。但我們現在不是要尋找靈感,而是要測試它們的安全性,隨便點擊一個進去。
我們知道在大多數的企業網站底部都可以找到網站的設計者的鏈接,我們點鏈接來看下——廈門某科技有限公司。進入到官方主頁來看對方的案例,發現都是美工極佳的酷站,如果在安全方面也沒什麼大問題的話,那可絕對就屬精品中的精品了,我們在檢測之前先對其案例進行大概的瀏覽,發現後臺登錄地址都是一樣的,都是/admidlogin.asp這樣的鏈接,站點我們欣賞的差不多了,那就開始檢測吧。
漏洞一
選擇一個目標,比如暴龍太陽鏡,程序語言使用的是asp,後臺登錄地址和上面分析的一樣,我們先對目前動態網站最有可能存在的SQL注入漏洞進行檢測,檢測結果表明基本的注入漏洞都已經進行了防範。
既然注入這條路已經被封鎖了,那是不是就沒有辦法了呢,來嘗試一下社會工程學吧,猜一下弱口令,來到後臺登錄界面,利用常見的用戶名admin和密碼admin888進行測試,發現已經改了默認密碼。就在最後準備放棄的時候,想到了以前最常見的登錄驗證漏洞——萬能密碼“or”=“or”,我們現在面對的這個後臺登錄界面看起來做的如此專業並且還有驗證碼,是否也存在這個漏洞呢?經過測試答案是肯定的,我們成功的登錄了進去。同時還發現其默認的登錄帳戶為admin,默認密碼是123456,再經過測試發現該公司的案例中基本都存在此漏洞。
漏洞二
進入了後臺,我們要拿WEB權限就簡單的多了,經過測試發現其後臺都使用了ewebeditor編輯器,該編輯器的功能非常強大。找到編輯器的登錄界面,添加木馬的ASP後綴,這樣就可以上傳木馬成功獲取WEB權限,但遺憾的是編輯器後臺管理的路徑被刪除或修改,而且數據庫路徑也被修改了,暫時打斷了我們前進的步伐,但是在後臺看到有一個“文件上傳管理”的鏈接,點擊後可以查看具體上傳的文件,記得以前的文章中曾經提到過當ewebeditor的數據庫為只讀的時候,我們可以通過上傳文件管理來列目錄的辦法查看網站的文件,不知道這裡是否存在這樣的漏洞,來測試一下吧,可以看到漏洞確實存在。
漏洞三(人為漏洞)
編輯器的登錄地址被修改了而沒有被刪除,這樣我們後臺拿WBE權限的希望又出現了,但是當我滿懷希望使用默認的密碼登錄時發現密碼是錯誤的,數據庫的路徑被修改了,真是困難重重啊,但是難不倒我們,不是還可以列目錄嗎!
找到數據庫的路徑,然後下載數據庫,再破解MD5密碼即可。當我們查看數據庫時,發現用戶名和密碼都是MD5加密過的“9cc197539d872b23”,但是拿到號稱最強大的MD5查詢網站上進行破解的時候,結果返回的是Not found,本著檢測的原則,到這裡就應該結束了,但是本著黑客不達目的不放棄的原則,我的破解慾望再次被激起了,暴力破解?不,我們還可以利用社會工程學呢。
來分析一下,登錄的地址是adminlogin_zyt.asp,是在正常地址的後面加zyt,那密碼是否也是這樣的組合呢,幸運女神再次降臨,測試adminzyt加密後的結果就是9cc197539d872b23,終於登錄進去了,通過修改上傳的類型,成功的拿到了我們想要的webshell。
漏洞四
進入我們的WEBSHELL查看源代碼,發現在admin目錄下存在一個1.asp文件。
學習過ASP的朋友一看就知道是怎麼回事了,直接不用驗證而是訪問這個文件就直接session賦值而進入到後臺,呵呵,這個應該是程序員為了方便而留在上面的吧,但在站點投入使用後卻沒有被刪除,此為漏洞四。
漏洞五
既然我們可以看到源碼了,那就黑白盒一起來測試,我們回到後臺,發現有一個備份數據庫的地方,以往的經驗告訴我,這個地方很多時候都可以被利用,但是經過測試後發現,可以定義數據庫的路徑卻無法定義數據庫的後綴。
這也就意味著我們即使是上傳木馬通過數據庫還原得到了木馬,但依然是沒有辦法拿到WEBSHELL,但是在測試別的案例中卻發現有部分後綴是ASP,這也就為我們獲得WEB權限提供了可能性,最後使用數據庫還原的辦法就可以拿到我們想要的WEBSHELL了。這個算不算是漏洞呢,如果算是的話,那就是漏洞五吧。
綜上所述,要拿下其它站點的後臺或SHELL應該不難了吧!
二、對企業的提醒與建議
目前的設計公司大多都有自己進行開發的網站系統,將企業網站常用的一些模塊寫好後,再根據客戶的需求對網站進行整合,這樣的做法節約了開發時間,降低了成本,為整個網絡的發展起到了一定的促進作用,但是企業網站的安全是否能得到保障呢?
企業客戶大多都是普通的網絡使用者,對於安全的知識是非常缺乏的,更何況涉及到程序語言的安全,或許有人會這樣認為,小企業網站一個,誰愛黑就黑去,也沒什麼損失,但是要知道,一個網站就是一個企業的面子,難道你的臉總喜歡被人在上面亂畫東西嗎?
我曾經做過這樣的測試,將一公司的站點入侵後,對其代碼進行大概瀏覽,知道其程序的BUG後,去網站的設計公司查看其它案例,發現80%都有同樣的問題。於是,不到一個小時的時間就拿到了20多個網站的SHELL,其中不乏國內的知名企業。
本文的意義並不在於討論入侵本身的技術,只在於提醒那些企業網站的建設者們,增強安全意識,不要因為把網站的製作外包給一些設計公司,就可以高枕無憂了。