查殺病毒/警惕:網站程式中默認的幾個危險檔
許多朋友談起論壇就首先想到的是動網,因為它確實是國內最優秀的ASP論壇程式,所以許多的網站都用動網論壇架設自己的論壇。也正因為動網的廣泛使用,所以讀它代碼研究漏洞的人是越來越多,當然漏洞是一次又一次的被發現,各網站的管理員是一次又一次的為動網而煩惱,而傷神。
好了,扯遠了,我們這裏從動網的安裝檔說起,讓大家知道你的網站是如何被人攻擊的。
一.從動網key.asp文件談起
動網的key.asp檔說明書是這樣寫的:
1、請把壓縮包中的key.asp檔上傳到Dvbbs7.1論壇目錄下。
2、運行key.asp後選擇您所需要的選項。
3、注意:使用完畢後請點擊"刪除檔"或在FTP中刪除key.asp文件以防留有後門。
寫的夠明白了,使用後要刪除,可是就是有許多的網站管理員不負責,將這個危險的後門放在網站上,直到有一天,有個傢伙闖了進來,改了它的首頁……..時至今日,仍有些網站有這樣的漏洞,不信,我給大家抓個圖:
圖1 網站的漏洞截圖
看圖上的你就知道key.asp到底是做什麼的啦,它可以將一個網站的管理員資料修改或者添加一個管理員。加了一個管理員後我們可以像正常的管理員一樣編輯別人的貼子,新添加一些版塊什麼的,這些都不算是嚴重的,更嚴重的是,前臺我們發貼就可以上傳圖片,而後臺我們可以備份資料庫。試想,如果我們把一個ASP木馬保存為圖片格式上傳到網站伺服器,然後在後臺通過備份資料庫功能把這個圖片備份為一個ASP檔,那麼我們就拿到一個webshell了。思路很清晰,由於我這裏講的是key.asp檔的危害,就不操作了,以後的章節會有詳細的講述。
二.由動網key.asp想到的驚雲下載系統漏洞
當然,互聯網上並不僅公只有像動網這樣的論壇程式,也還有許多其他優秀的文章系統、下載系統、留言本系統、博客程式、甚至有整站系統提供下載,筆者前不久研究驚雲下載系統的漏洞的時候無意發現其安裝說明談到用zz.asp安裝,安裝的時候就是設置站長的帳號和密碼,當站長忘了自己的密碼的時候可以通過它來修改,正如key.asp一樣的功能,但是一不小心被我找到了:
圖2 zz.asp文件
重新設置一個新的帳號和密碼,那麼這個網站就是你的啦,後臺隨便你進。後臺我們可以利用得到webshell的方法,目前網上最為流傳的是利用上傳漏洞得到webshell,其實筆者通過幾天的研究與測試,得到了另外兩種得到webshell的方法,思路很靈活。總之,不要輕易留下後門給別人有機可乘。
三.向BBSXP學習
安裝BBSXP論壇的時候,會調用install.asp來安裝,裝好了以後我們再把程式上傳到網站上去,如果有哪個傢伙還想用上面的方法來攻擊你,那麼他就知道他錯了,寫BBSXP的程式師看來是從動網的key.asp事件裏學來的呵呵。他在代碼時首先檢測調試者寫的IP與以後再調試的IP,如果不是同一個IP他就會報錯,主要代碼如下:
youip="192.168.1.123" '您本機的IP地址
if adminpassword<>"" and remoteaddr<>youip then
error(" 為了安全起見,請編輯 install.asp 內本機的IP地址 請把它設置成 "&remoteaddr&"")
end if
當我們訪問一個BBSXP論壇的這個頁面的時候,會出現一個醒目的紅叉:
圖3 BBSXP檢測IP的功能
小結:
對於別人的程式,在使用前最好先好好讀一下程式的說明,畢竟程式是別人寫的,寫個說明當然是向使用者交待一些相關資訊,另外,如果懂點程式,最好改一下比如說後臺呀,資料庫調用檔呀之類的,當然,如果你有能力發現漏洞,你就為官方補上這些漏洞呀!