登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

解析OBLOG下载漏洞利用及防范  

2008-05-22 16:56:16|  分类: 桌面应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

Oblog是当前流行的多用户博客建站程序,拥有很多的用户。最近,Oblog爆出下载漏洞。下面笔者结合实例对该漏洞进行测试解析。

  漏洞原理:由于attachment.asp文件的参数过滤不严,攻击者通过精心构造的参数即可下载所有文件。

  利用很简单通过http://test.cn/attachment.asp?path=./conn.asp即可下载conn.asp。conn.asp是数据库连接文件,该文件保存着数据的路径,名称,用户名和密码等敏感信息。攻击者通过对conn.asp文件的分析获取敏感信息从而实施进一步的入侵。

  1.寻找漏洞系统

  进入“http://www.google.cn/advanced_search?hl=zh-CN”Google高级搜索页面,输入关键词BLOG inurl:attachment.asp查找采用Oblog系统的站点。点击“Google搜索”可以看到很多采用Oblog系统的站点。(图1)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  2.下载conn.asp

  在搜索结果页面选择一个链接复制其下面的地址,类似www.*.com/blog/attachment.asp?,然后在链接后面添加path=UploadFiles/../conn.asp组成www.*.com/blog/attachment.asp?path=UploadFiles/../conn.asp然后在浏览器中即可下载conn.asp文件。(图2)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  3.收集敏感信息

  用记事本打开conn.asp,我们可以在该文件中看到该站点采用的数据库类型,access或者sqlsever。可以看到“数据库名”、“访问数据的用户名”、“访问数据的密码”。如果是access数据库我们可以看到数据库的路径。(图3)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  4.下载数据库

  根据conn.asp文件提供的数据库路径/blog/data/oblog45.mdb,再加上站点的URL地址,即可组成数据库的URL地址例如www.*.com/blog/data/oblog45.mdb进行数据库下载。(图4)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  笔者测试发现上面的数据库地址并不是唯一的,有时管理员为了安全更改了数据库的地址,但这似乎也不安全,攻击者可以试试类似/data/oblog45.mdb 、/admin/oblog45.mdb进行试探。或者利用google高级搜索语法进行探测。比如site:www.*.com oblog45.mdb。

  5.获取站点前台或者后台的管理员和密码。

  Oblog的oblog45.mdb数据库的oblog_admin表中记录了管理员的用户名和密码,当然这些密码是经过md5加密的,如果密码不够强的话,不过攻击者可以通过类似在线破解网站http://www.cmd5.com或者本地暴力破解。本例中的笔者通过在线破解获得了用户名为“jiangtaode”的密码“25280978”(图5)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  另外还有一个oblog_user表,该表记录了该博客系统注册的用户相关信息。有用户名、密码、email、QQ、真实姓名地址、电话号码等个人敏感信息。攻击者可以通过社会工程学,利用用户的习惯而获取比如email、qq等。(图6)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

 6.相关利用。

  (1)登陆后台

  Oblog的默认后台是http://www.*.com/blog/admin/admin_login.asp,在本例中当笔者输入http://www.*.com/blog/admin/后发现该网站目录竟然可以浏览见图7,所有的敏感文件一目了然。(图7)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  而且还有一个Databackup目录,点击进入后发现是数据库文件,文件名为2008-1-19.asa。由于该文件是asa文件不能直接下载,但我们可以利用OBLOG的下载漏洞,构造URL地址“http://www.*.com/blog/attachment.asp?path=admin/Databackup/2008-1-19.asa”,结果成功下载。事后经过笔者查看该数据库是管理员在2008-1-19对oblog45.mdb的备份。(图8)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  我们继续进行,输入http://www.*.com/blog/admin/admin_login.asp进入管理后台登陆页面,输入管理员“jiangtaode”,密码“25280978”,成功登陆后台。可以看到该管理员不是系统管理员,但权限还是很大的可供操作的内容很多,比如“文件上传”、“用户管理”等等。(图9)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  (2)获取webshell

  如果用系统管理员登陆的话,就可以通过上传或者数据库差异备份获得一个Webshell。由于是漏洞解析演示,笔者就不必破解管理员密码进一步地渗透了。

  (3)意味收获

  笔者在上文中谈到有个oblog_user表,这个表记录的是用户注册时的一些个人信息。攻击者破解用户密码,通过社会工程学进而猜解其QQ、email等密码。因为很多人的不良习惯,为了图方便使用同一个密码。笔者在该表中找到一个用户ch*(省略后面的字母),他的密码的md5值是48e675108f4f0391,通过在线破解得到密码为442530。然后笔者用该密码登录其注册时用的QQ:1542*(省略后面的数字)和email:ch*@163.com(用户名省略后面的字母),竟然都成功了。(图10)(图11)

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  解析OBLOG下载漏洞利用及防范 - 梦想之鹰 - 梦想之鹰的天空

  由此可见,用户的安全意识是多么淡薄。同时也说明由OBLOG下载漏洞引发不仅仅是站点被入侵,还有用户个人隐私的泄露。

  补充:我们上面的演示是以采用Access数据库的Oblog系统为例,如果站点采用了SQL数据库,那危险性就更大。攻击者通过conn.asp文件获得SQL的连接用户和密码,然后通过类似SQL连接器的工具连接服务器,如果设置不当就可以执行系统命令,服务器即被控制。

  总结:在上个礼拜OBLOG下载漏洞被发布后不久,OBLOG马上修补了该漏洞。但是将近十天过去了,Internet上存在该漏洞的OBLOG站点还比比皆是,可见不仅仅是普通用户,就连网站的管理人员安全意识也太淡薄了。城门失火殃及池鱼,笔者有如下安全建议:

  1.站点尽快升级0BLOG系统。

  2.管理员设置强密码,进可能少地创建管理员。

  3.做好站点的安全设置,杜绝诸如目录浏览这样的低级错误。

  3.OBLOG用户在注册时,密码要复制,最好用虚假的QQ、Email的信息。

  4.用户密码最好各自专用,切忌一个密码蹚网络。

  评论这张
 
阅读(724)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018