對某農業專業網站的一次安全檢測
Simeon
注:本文已經授權比特網安全頻道獨家發表!
摘要 昨天一個朋友告訴我一個做得不錯的網站,次日該網站就被掛馬,從我們進行安全檢測的經驗和跟一些從事安全的朋友哪裏瞭解到,目前沒有絕對的安全,國內很多知名網站都被成功***過,有的是爲了求名,***就是爲了好玩,把技術的研究作爲一種愛好;有的是爲了求利,***成功後獲取下載數據、下載源代碼以及掛馬等操作。總之一句話沒有絕對安全的網站,只有絕對不安全的網站,只要連接在互聯網就要時刻關注自身的網絡安全,一個微小的細節有可能導致整個網站,乃至整個網絡的***和被控制。本次安全檢測和***來自一臺肉雞掃描的結果,這個結果就是挖掘雞掃描結果文件,通過這些文件偶下載了20G 的數據,這些數據絕大多數都是整個網站的源代碼,由於該案例比較具有典型性,因此將整個過程寫出來跟大家分享,希望能夠引以爲戒,加強網站安全。
最近一直忙於團隊安全子課題的研究,很早以前就曾經對國內某農業網站進行過安全檢測,當時獲取了該服務器的數據庫密碼以及其它一些東西,今天整理資料時再次發現曾經的一個記錄,於是萌發了再次進行安全檢測,發現問題並且修正系統存在的漏洞。應該網站站長的要求特隱去文中出現該網站信息的地方,該網站是一個爲農民朋友服務的地方,我想我們很多人都是從農村中出來的,農民伯伯是很辛苦的,一個爲百姓辦事情的網站,不容易,個人提倡對國內網站進行安全檢測,完畢跟管理員聯繫,併爲其加固系統,多幹一些好事情,積一些陰德!呵呵,正式開始吧。
(一)安全檢測之前奏
1.獲取挖掘雞掃描結果
在***工具氾濫的情況下,在一些偶然的情況下,可能會獲得一些別人工作的成果,偶就是在一個服務器上面發現了一個名叫dig.txt,看到這個我想大家都會想到一個工具——大名鼎鼎的挖掘雞(好像叫digshell吧)。通過這個工具可以掃描很多東東,比如默認mdb類型數據庫,txt文件,rar文件,zip文件,sql文件等等。總之沒有用過的趕快用用,用過的就好好總結,哈哈!直接打開dig.txt看到一堆地址,如圖1所示,一共有100多個結果。這些都是網站源代碼的壓縮結果。
圖1 查看挖掘雞掃描結果
很多網站開發者或者個人處於修改代碼或者其他需要都喜歡直接在根目錄將其進行壓縮,然後下載到本地,當然還有就是***者在獲取webshell後也會將源代碼進行壓縮,然後下載。如果稍微疏忽,在下載完畢後沒有及時刪除,這就給挖掘雞有用武之地,關於挖掘雞的詳細使用案例,請繼續關注本團隊的文章。使用挖掘雞可以很好的挖掘網站中的這些關係網站安全的文件。偶但是對所有文件進行了下載,下載到本地後超過20G ,由於沒有什麼意義下載下來研究了一下,僅對某農業網站進行簡單的檢測後,就刪除其他下載的文件了。
2.分析下載文件
將網站源代碼壓縮文件下載到本地,解壓縮後首先查看有關數據庫的代碼,由於時間久遠,俺就把數據庫連接的文件給摘錄出來了,如圖2所示,其中使用的是SQL Server 數據庫。
圖2 獲取的數據庫用戶名和對應數據庫密碼
3.獲取數據庫服務器地址
從文件中可以看到幾個數據庫的密碼都是一樣的,通過對IP地址218.25.*.*以及IP地址61.189.*.*進行端口探測,發現這兩個服務器關閉了1433服務器端口。分析原因有三個:
(1)服務器做了限制,1433要麼僅對內開放。
(2)數據庫服務器是內網服務器
(3)數據庫服務器在相鄰獨立IP上面
通過對附近的地址進行探測,果然如此,如圖3所示,61.189.*.17計算機開放了1433端口。
圖 3獲取相鄰IP服務器端口信息
(二)開始***之旅
1.註冊並登錄遠端數據庫服務器
打開SQL Server 2000企業管理,在“SQL Server 組”中註冊新的數據庫,如圖4所示,選擇“使用SQL Server身份驗證”輸入如圖2所示的數據庫用戶和密碼進行登錄嘗試。
圖4 註冊並登錄遠端數據庫服務器
2.查看數據庫中表的內容
是我的幸運,是管理員的不幸,成功連接遠端數據庫服務器,在該服務器中有好幾個數據庫,如圖5,查找到包含用戶的數據庫Oblog,其中包含有管理員的用戶和密碼。
圖5 查看數據庫中的用戶數據
3.再次查找有關管理員用戶的數據庫表
通過查看數據庫中的其他數據庫,在Snowalk_user表中知道一個RealName爲系統管理員的,如圖6所示,呵呵,有好幾萬的用戶數據呢,將其md5複製到剪貼板。
圖6 獲取其他的有關係統管理員的賬號信息
圖7 獲取管理員的其它信息
5.破解md5密碼
將管理員的md5加密值複製到cmd5網站([url]http://www.cmd5.com[/url]),解密後是一個數字,如圖8所示,通過cmd5網站可以快速破解md5加密值,如果不行可以在手動破解。
圖8 獲取管理員密碼
(三)使用工具軟件掃描安全漏洞
1.使用jsky掃描工具掃描網站
直接打開jsky掃描工具軟件,新建一個掃描任務,輸入網站地址,然後開始掃描,很快就掃描出來一些結果了,如圖9所示,在該網站發現3個文件暴露數據庫連接密碼。
圖9 查出暴露源代碼文件
2.利用pangolin工具軟件進行***測試
在掃描出了SQL注入點以後,直接使用pangolin進行***,如圖10所示,可以直接猜解數據庫以及其數據庫中的內容。
圖10 使用pangolin工具軟件猜解數據庫表和內容
3.安全漏洞掃描結果
掃描結束後,發現13個高危漏洞,10箇中等漏洞,70個低微漏洞,如圖11所示。
圖11 漏洞掃描結果
說明:
Jsky是大牛Zwell寫的一款免費掃描工具軟件,不過其新版本的Jsky以及企業版本Jsky不對外提供。
(四)安全提醒和加固
1.聯繫管理人員
一般網站都有聯繫方式,有的還有在線交流方式,找到後聯繫上管理人員,並確認是管理人員。
2.告知漏洞存在地點以及檢測結果。
通過網站找到網站管理人員,並告訴其存在漏洞的地方,讓其技術人員進行修補和加固。
例如在本例中找到一下sql注入點:
[url]http://www.j[/url]******.**:80/analysis/ss.asp?n=60%00'
[url]http://www.[/url] j******.**:80/js.asp?j=66&n=10%00'
[url]http://www.[/url] j******.**:80/js.asp?j=66&n=10%00'
[url]http://www.[/url] j******.**:80/detailed/detail_vouchpic.asp?cid=1002
暴露源代碼地址:
[url]http://www.[/url] j******.**:80/analysis/expert-points/index.html
[url]http://www.[/url] j******.**:80/technology/mrnj/index.html
(五)總結與回顧
1.安全漏洞形成原因分析
系統主要存在源代碼暴露、SQL注入以及跨站漏洞,早期版本中開發成員將整個源代碼壓縮放在網站目錄,從而導致可以通過挖掘雞搜索並下載到本地。從源代碼中獲取了數據庫的名稱和密碼,通過獲取數據庫的內容以及配合其他一些方法,是完全可以控制該服務器,由於本次僅僅爲安全檢測,所以找到漏洞後未進行安全控制。
2.加固方法探討
就個人經驗,呵呵總結有一些:
(1)在網站目錄中謹慎使用winrar等壓縮軟件打包源代碼,源代碼的泄露就會帶來巨大的安全風險。
(2)儘量避免使用UltraEdit等編輯完成後會生成bak文件的編輯器,目前一些安全掃描工具都能掃描網站中的bak文件,通過獲取這些文件中的敏感信息來實施***的機率非常高。
(3)杜絕設置同一密碼。通過近段時間的安全檢測,發現很多網站的Ftp服務器、網站服務器的用戶口令、數據庫服務器以及其他遠程控制軟件的密碼都設置爲同一個密碼,在網絡***中,特別是在控制一臺服務器的情況下,口令是***者或者安全檢測者的必選,建議口令設置爲36位以上,可以結合中國特色來設置,舉一個例子吧,可以這樣來設置一個密碼:“我今天寫了一篇稿件,同時通知了管理員要注意修改漏洞存在的地方,以後要加強安全學習哦”分別取這段話的第一個拼音字母,外加時間,第一個字母大寫,那麼我們來看看這個密碼:“Wjtxlypgj,tstzlglyzyxgldczddf,yhyjqaqxxo2008-12-5 ”,呵呵,沒有什麼規律,你去破解和猜解吧!及時使用星號密碼查看器,也不定能查看完整,嘿嘿!
(4)關注一些安全的最新漏洞。一些網站系統都開放了Blog、BBS這些系統均存在漏洞,只是沒有被發現和公佈而已,一旦公佈出來後,就需要進行修復等處理。
(5)在系統上線前一定要進行安全檢測,查找並修復系統中存在的漏洞。
(6)定期進行安全檢測。這點俺就不多說了。
本次漏洞僅僅是一次安全檢測,給大家帶來一種思路,沒有什麼太強的技術在裏面,呵呵,歡迎提供安全線索,俺以及安天365團隊(antian365.com)將免費爲您進行安全檢測。謝謝大家耐心看完本文,不到之處請指正。