|
 | 作者: Newmyth21 [newmyth21]
 论坛用户 |
登录 |
| 下午三点钟下的网,等五点半在上网时,突然间发现自已网站论坛被换成了海洋顶端ASP木马的页面了,百思不得其解.对方是怎么做的呢.在这之前我已不止一次查看了此论坛的代码,至少我认为比动网的要安全多了.我在后台管理界面中早已禁止了上传图片,FLASH,搜索.郁闷.敢快打开FTP,现在最要紧的是如果恢复论坛,将哪个讨厌的ASP木马去掉.我先覆盖了首页面以为这样此木马页面就会消失,可是没有,接着我又覆盖了多个ASP文件,但依然不行.看来思路错了.此木马一定是找到根上去了,而每一个ASP文件都会调用到这个根.仔细一看原来在INC目录下的BBSSETUP文件由原来的4K变成25K了.肯定是他了.敢快替换掉.一瞬间清静了.论坛又回来了.但是我们到目前为止都不知对方是如何将此ASP上传上来的,所以论坛依旧有潜在危险. 一步一步分析 从只有论坛被放入ASP木马而空间中包括网站在内其它程式没有被放入ASP木马来看,对方只在论坛中取得了权限.范围缩小到论坛 从可以被放入ASP木马来看,对方应该是上传了此程式.而网站中我早就限定了上传图片,FLASH功能.将目标索定在签名和个人资料修改上 从我用管理员密码登陆不上去可以看出,对方已修改了我的管理密码,哪么说来数据库对方可能已拿到手,或者是猜测到了数据库路径.因为这是默认的 从管理界面中的信息被改可以看出对方应该找到了管理路径.因为这是默认的 从网站论坛数据没被破坏并且对方将ASP木马加了密码可以看出.对方可能没有坏的目的.这一点可以让人放心 然后我们要做的就是一步步排除并在一次加固论坛 1.下载数据库,看看密码被改成什么样了.然后登陆.并修改管理员密码. 2.限定个人签名,这在管理界面中可以做到 3.禁止修改个人资料. 4.修改数据库原目录和数据库名字.尽量复杂,让对方猜不到 5.修改后台管理路径.因为这样以后就算让对方用了管理员密码却不能直接用默认的管理进入. 6.让我们仔细看看有关个人资料的ASP文件,此文件为USERMODIFY.ASP,突然间想到,曾经看过一篇文章,写的是有关本地提交的漏洞,当时也是利用的此文件.哪我们就试一下.先注册一个USER,然后查看一下自已的资料,用右键将资料对应的ASP保存为usermodify.htm.然后在本地打开.现在回到论坛上,找到管理员的用户名和ID.哈哈.在本地打开的USERMODIFY.HTM中将你管理员的用户名和ID替换掉你自已的.然后在将ACTION修改成你要提交的网址.怎么样.保存运行一下.看到了吧,很简单的就成为管理员了.真是危险呀. 记的以前哪个有关本地提交的漏洞给出的修补代码是 <% server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) if mid(server_v1,8,len(server_v2))<>server_v2 then response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>" response.write "<tr><td style='font:9pt Verdana'>" response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱该参数!" response.write "</td></tr></table></center>" response.end end if %> 要求从服务器判断路径提交,其他地址提交提交无无效,依此我们也来修补一下吧: 打开你的USERMODIFY.ASP 1.在你的DEF_BBS_HomeUrl = "../"之上在加一行Dim SuperEditID,server_v1,server_v2 2.去掉Dim SuperEditID 3.在Function saveFormData下面加上如下语句: if instr(Request.ServerVariables("http_referer"),""&Request.ServerVariables("server_name")&"") = 0 then response.write "<li><font color=red size=20>非法闯入!影子鹰安全网络www.cnhacker.cn</font>" response.end end if OK,补好后就禁止了对方从本地进行提交获取权限了. 影子鹰安全网络KAWEN www.cnhacker.cn www.chinaehacker.net |
| 地主 发表时间: 04-01-17 15:59 |
| 回复: Newmyth21 [newmyth21] 论坛用户 |
登录 |
有利用价值吧! |
| B1层 发表时间: 04-01-17 16:01 |
 | 回复: afan271314 [afan271314] 论坛用户 |
登录 |
|
这个还行吗 我记的两年前 我用过和这个查不多的方法 黑过江湖 |
| B2层 发表时间: 04-01-31 20:18 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: LEADBBS漏洞利用与终极防范