防止黑客利用新的DeDeCMS漏洞入侵有妙招
黑客利用DeDeCMS漏洞入侵就可以控制校園網,進行掛馬、嵌入病毒……不過校園網中葉存在電腦高手,接著我們就來看看關于“紅帽”同學對自己學校網站的開學安全檢測。以下就是文章的主要內容描述。
我的網名叫“紅帽”,我猜每一個大學校園里,都有像我這樣的一號人,我們對電腦充分的了解,面對互聯網海洋時,就如同游泳池中的菲爾普斯一樣。無論你需要找到什么東西,只要它存在于互聯網之中,或者在互聯網中生活過一段時間,我都能夠幫助你找到源頭,或者幫你把你感興趣的東西弄到手。你猜對了,我就是黑客,活躍在校園里面的黑客。
我自認為算是高手,幫同學從別的黑客手里盜取回被竊的賬號,在網吧讓一個討厭鬼不停的更換電腦,也曾經嘗試著入侵NASA的計算機網絡。
這段日子正是開學的日子,我準備對我的學校網站進行了一次安全檢測。或許你要問,為什么要對自己學校的網站進行安全檢測?我們學校用了DeDeCMS系統(中文名稱是織夢內容管理系統),這個系統在很多學校中被使用。
博弈主題:攻擊DeDeCMS整站系統
技術難度:★★★★
重點知識:如何用新的DeDeCMS漏洞入侵
DeDeCMS系統被很多學校使用并不能讓我產生檢測自己學校的網站的念頭,真正讓我產生這個念頭的原因是這個系統最近曝出了嚴重的漏洞,不知道網管補上該漏洞沒有,如果沒有補上,大家回校后上校園網就危險了。
DeDeCMS身藏URL編碼漏洞
這次DeDeCMS新出的漏洞是一個URL編解碼漏洞,導致漏洞出現的原因是DeDeCMS的設計者在joblist.php、guestbook_admin.php等文件中對orderby參數未做過濾。黑客可以利用這些漏洞查詢數據庫的敏感信息,例如管理員密碼、加密key等,一旦這些敏感資料被黑客掌握,要在校園網內掛馬就是輕而易舉的事情了,真危險。
小知識:編碼是將源對象內容按照一種標準轉換為一種標準格式內容。解碼是和編碼對應的,它使用和編碼相同的標準將編碼內容還原為最初的對象內容。編解碼的目的最初是為了加密信息,經過加密的內容不知道編碼標準的人很難識別。
實戰入侵
既然知道了漏洞的成因,下面就來親手檢測一下。目前有兩種方案可以實現DeDeCMS整站系統的入侵,一種是PHP腳本的入侵方案,采用這種方案,需要先在自己的本機調試好PHP解析環境,然后登錄入侵的目標網站,在PHP環境中運行漏洞測試代碼。不過這種方案實行起來相對復雜,因此我使用第二種進行檢測,通過漏洞檢測注入程序直接注入。
首先,登錄學校的網站。然后打開《DeDeCMS漏洞注入檢測程序》,點擊“Target Infomation”標簽選項,在“URL”一項后面將尋找到的有DeDeCMS系統漏洞的網址復制粘貼到地址輸入框,這里利用DeDeCMS的網站路徑地址“./include/htmledit/index.php”得到網站的物理路徑。
在登錄系統之后,復制瀏覽器地址欄中的網站路徑,例如[url=http://www.hacker.com/dedecms5/include/htmledit/index.php?modetype=basic&height[]=chinaren]http://www.hacker.com/dedecms5/include/htmledit/index.php?modetype=basic&height[]=chinaren[/url],然后復制粘貼提交測試,粘貼完成后點擊“Check”按鈕,測試網站是否符合條件。
在提示網站為“Ready!”可讀后,再點擊下方的“Get!”按鈕。此時,如果“File_priv”一項提示為“YES”,就可以順利的獲得網站主機的物理路徑,表示該網站存在漏洞,可以入侵。
在“File_priv”一項提示為“YES”之后,點擊“Get the shell”標簽選項,然后在“PHP Code”后方輸入PHP后門代碼,在“Save Path”中輸入后門文件保存的路徑,之后點擊“Get!”提交即可。提交完成后,打開IE瀏覽器,輸入后門地址,查看后門頁面是否提交成功。如果成功提交完成,我們此時就獲取了該網站的控制權了。
小知識:如果不能進行union查詢,那么就只能夠自己使用“Get the hash”猜解獲取hash表后,再破解進入網站管理后臺去拿取網站控制權。
防范策略
目前DeDeCMS已經推出了官方補丁(下載地址:http://www.shudoo.com/bzsoft),打上補丁后盡快避免黑客利用該DeDeCMS漏洞入侵了。此外,學校開學后,校園網中的病毒傳播和局域網入侵會增多,大家要做法相應的準備。安裝并更新殺毒軟件,最好配合使用一些安全輔助工具,關閉系統的默認共享、關閉系統的一些不常用的端口、使用我們提供的最新HOSTS反黑文件,如果宿舍中有共用一臺電腦的情況,還要在系統中給不同用戶設置不同的權限(以上這些操作的具體步驟請到http://www.shudoo.com/bzsoft下載)。
【編輯推薦】
