牟晓东
路遇网站,小试牛刀
这两天,我正在几个教育辅导机构的网站转悠,上这些网站下载资料都要求注册,而且还要求提供手机和生日等私密信息。我决定随机选择其中一个网站,检查一下安全性到底做得如何。
我在网站首页随意点击了一条新闻链接,该新闻的地址显示为:http://www. xx.com/show_news.asp?id=167&ssfl=2(域名用xx代替)。这个“news.asp?id=”引起了我的注意,这说明网站是基于ASP构建,而这种形式的网址也往往存在注入漏洞。
于是,我打开一款名为“明小子旁注WEB综合检测程序”的小工具,然后依次进入“SQL注入”→“SQL注入猜解检测”。我将网站的新闻地址插入到“注入点”输入框,并点击“开始检测”按钮。很快便得知该网站用的是Access数据库,网站存在注入点。
随后,我又点击程序窗口左侧的“猜解表名”按钮,得到如下信息:数据库4个,admin、users、news和config。当时我就震惊了,竟然有admin这个表(这个表中都是存放权限控制信息)!选中“admin”后,再点击“猜解列名”按钮,工具又解析出了表中的信息:“列名:3个,admin、password和id”(如图1)。
哎,这网站安全性做得也太差了,说不定还能直接找到管理员账号!我一边琢磨,一边勾选窗口中的admin和password两列,并点击“猜解内容”按钮来印证自己的想法。
工具虽未破解出admin的值(显示为“—检”),但却找到了各账号对应的password信息(用MD5加密)。好在,我将密码拿到几个在线MD5破解网站破解时,却并未成功。看来,管理员密码很强壮,我舒了口气(如图2)。
My God,网站早已被黑
既然网站存在注入点,说明它还是有安全漏洞的,至少存在代码提交过滤不严的问题。于是,我决定再猜猜网站的后台管理页面地址。
这次,我找来了一款名为“啊D注入工具”的小工具帮忙。启动程序后,切换至“管理入口检测”窗口,在“网站地址”处插入新闻页面的网址,并点击“检测管理入口”按钮。很快,这厮就扫描出了一大堆“可用连接和目录位置”(如图3)。
根据字面意思,便能猜测出各个页面的大致功能。比如,http://www.xx.com/ admin/index.asp,肯定是后台管理页面;而http://www.xx.com/UploadFile/应该是上
传文件的页面。而当我打开该上传页面时,发现该页面竟存在目录浏览的低级漏洞(如图4)!
在该页面中,我点击“[转到父目录]”,结果来到了网站首页。可点击“201106”,却发现了大量的JPG图片文件。蹊跷的是,该目录中三个最新文件的大小都是77 536字节。难道,真有这么巧?
抱着怀疑的态度,我先点击了最后一张图片,结果却打开了一个网页!仔细一看页面内容才恍然大悟—这个网站早被黑了(如图5)。我又点击了几个“图片”文件看了下,竟还发现了上古时代的木马—“海阳顶端网ASP木马红粉佳人版”的踪迹。大意的网站管理员啊,“尼玛”叫我怎敢来这儿注册账号呀!
顺藤摸瓜,网站竟然被“脱裤”
看来,这网站的后台都快成黑客们的菜园子了,但更为严重的问题还在后面!
还记得刚才扫描到的各个页面吗?仔细一看,其中还有一个http://www.xx.com/Data/,这应该是访问数据库的页面。我在浏览器中尝试访问后,果然发现了一个名为“#wan#hua. mdb”的数据库,大小约为5MB。更恐怖的是,只要对其点击鼠标左键,就可以将数据下载到本地(如图6)—额的神呀!这不就是传说中的“脱裤”么?
用自己电脑的Access数据库软件打开这个数据库后,我双击打开“users”这个数据表,300多个会员的机密信息一览无余(如图7)。无论是登录账号、MD5加密之后的密码、找回密码时的问题与答案,甚至是真实姓名、电子邮箱和最近一次登录的IP地址等信息,全都尽收眼底。
虽然其中部分内容都是使用MD5进行加密的,但很多密码都很简单,随便用一个MD5破解网站就能直接破译,毫无安全性可言。比如,第一个账号“hxf1919”的密码破解之后竟然是“dddddd”。
我用该账号在网站的首页上进行登录,轻而易举地便进入了个人页面(如图8)!我绝望地发现,这里不但可以查看和修改用户资料,甚至还能查看账户中的余额等信息。
就我这样一个菜鸟,只用了两个小工具,竟然就获得了这个网站的会员资料。要是有动机不纯的黑客获得了这些数据,然后通过社会工程学的方法,还可以入侵我们的其他各个网站的账号,微博账号、QQ账号、网络游戏、网上银行……,想想都有些后怕。
事实上,很多中小网站都是漏洞百出,不但存在注入漏洞,还存在目录浏览漏洞和提权漏洞等。因此,它们被人“脱裤”也是常有的事儿。真想对各位网管们说一声:“网站不但是公司的脸面,还直接关系到用户的个人信息安全,可千万要多加防范!”
同时,我们也可以看出,只要密码足够强壮,通过MD5加密之后还是很难被破解的。各位读者朋友在注册网站账号的时候,也应尽量将自己的密码设置得更加强壮一些,从而避免密码被破译的危险。