作者：玄貓[B.C.T]                                    
網(wǎng)站：http://www.cnbct.org/&http://www.blackwoods.cn/  
原件: http://www.cnbct.org/xuan1.doc  
轉(zhuǎn)載時(shí),請(qǐng)注意版權(quán),發(fā)于黑X2005年7期  

一、前言。  

初識(shí)飛騁似乎還是2002年，那時(shí)它推出了一個(gè)似乎叫飛騁郵局的東西，提供280M的空間(在當(dāng)時(shí)算很大了)，當(dāng)時(shí)學(xué)SQL Injection的時(shí)候，曾用它練過(guò)手，現(xiàn)在這個(gè)站發(fā)展的不小，于是再對(duì)它作次安全檢測(cè)吧，發(fā)現(xiàn)漏洞漫天飛舞啊，而且很有意思，整個(gè)網(wǎng)站哪個(gè)欄目的系統(tǒng)都是各有特色，有.net的，有php的，還有asp的，真不知道他們是多少個(gè)人一點(diǎn)一點(diǎn)拼著開(kāi)發(fā)起來(lái)的，而且他們用什么樣服務(wù)器，怪啊～其實(shí)由此就可以看到他們的技術(shù)不專業(yè)性。從檢測(cè)的結(jié)果來(lái)看，漏洞出的都很幼稚，好了，撿我發(fā)現(xiàn)的一些比較典型的漏洞給大家逐個(gè)介紹下(注入的漏洞就不說(shuō)了吧，因?yàn)樨堌垜械谜易⑷朦c(diǎn)了，大家可以自己找找看，有很多的，但是錯(cuò)誤提示是關(guān)閉的。)，爭(zhēng)取能包含大部分常見(jiàn)網(wǎng)站程序漏洞吧。  

二、網(wǎng)站程序漏洞介紹。  

玄貓的習(xí)慣是先從系統(tǒng)功能來(lái)看，這個(gè)地方出的漏洞一般都是比較危險(xiǎn)的。  

1、取回密碼驗(yàn)證不嚴(yán)導(dǎo)致可以修改任意用戶的密碼漏洞。  

人在江湖走，難免忘密碼，找回密碼功能當(dāng)然是現(xiàn)在涉及會(huì)員管理的網(wǎng)絡(luò)程序的”標(biāo)配”了，但是找回密碼功能容易出現(xiàn)一個(gè)大的紕漏就是驗(yàn)證不嚴(yán)，我們來(lái)看：  

注冊(cè)一個(gè)用戶名為BlackCat的用戶，然后點(diǎn)擊首頁(yè)的”忘記密碼”按鈕找回密碼，看程序的流程，先是輸入用戶名，然后是填寫提示問(wèn)題的答案，然后就是修改密碼了(讀者：又一個(gè)用廢話騙稿費(fèi)的)。我們把這個(gè)第三步的頁(yè)面保存下來(lái)，用UltraEdit打開(kāi)看源代碼，讀到118行的時(shí)候，我們看到這樣一行代碼<input name="g_username" id="g_username" type="hidden" value="blackcats" />為了照顧不懂Html的讀者，我講下這段代碼的含義，這是一個(gè)隱藏的文本域，值為blackcats，即我們要找回密碼的用戶名，因?yàn)殡[藏域在網(wǎng)頁(yè)上是不顯示的，所以許多程序員都用它來(lái)傳遞參數(shù)，但是這里用這種方法就導(dǎo)致了一個(gè)極其嚴(yán)重的漏洞，為了方便講解，我們?cè)僮?cè)一個(gè)叫”BlackWoods”的用戶，密碼設(shè)為123456。注冊(cè)成功后，我們來(lái)修改保存到本地的網(wǎng)頁(yè)文件，把value=”blackcats”改為value=”BlackWoods”，然后把文件第93行的action="getpassword_2.aspx"改為action=" http://www.fc****.com/reg/ getpassword_2.aspx"，打開(kāi)這個(gè)網(wǎng)頁(yè)，在輸入新密碼的地方輸入654321，然后提交，顯示修改成功，我們用123456的密碼登陸用戶BlackWoods會(huì)發(fā)現(xiàn)密碼錯(cuò)誤了，再用654321登陸，成功，這就是嚴(yán)重的由于驗(yàn)證不嚴(yán)導(dǎo)致的隨意修改用戶密碼的漏洞。  

再來(lái)看它提供的服務(wù)有哪些漏洞。  

2、網(wǎng)絡(luò)曰記內(nèi)容跨站漏洞。  

首先來(lái)看曰記服務(wù)，一般來(lái)說(shuō)對(duì)于像曰記這種一個(gè)人寫，N多人看的東東，我們要考慮的就是XSS跨站漏洞了，(千萬(wàn)不要小看跨站，我覺(jué)得輻射魚(yú)在這方面頗有研究，他經(jīng)常能提出除了盜cookies的更強(qiáng)的利用方法，譬如直接利用管理員的表單來(lái)進(jìn)行一些操作，大家可以看看以前的雜志)。在下面的內(nèi)容中，我們?cè)囍么a<sc太陽(yáng)pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽(yáng)pt>來(lái)測(cè)試能不能在頁(yè)面上運(yùn)行我們的Javasc太陽(yáng)pt腳本。  

我們打開(kāi)一個(gè)寫曰記的頁(yè)面，先測(cè)試內(nèi)容能不能寫跨站腳本，曰記標(biāo)題隨便寫，內(nèi)容寫個(gè)<sc太陽(yáng)pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽(yáng)pt>，然后去看看，不難看到，我們寫的sc太陽(yáng)pt被替換成了s c太陽(yáng)pt，(圖一)  

中間多了個(gè)空格，再來(lái)改變大小寫試試，內(nèi)容寫<Sc太陽(yáng)pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽(yáng)pt>，還是不行，看來(lái)要想個(gè)變通的方法了，我們找找還有哪些是可以輸出的，對(duì)了，標(biāo)題，可是有的朋友會(huì)有疑問(wèn)，標(biāo)題就讓寫10個(gè)字，不夠啊，我們?cè)賮?lái)把文件保存到本地，研究form的驗(yàn)證：232行有個(gè)<FORM id=frmAnnounce name=frmAnnounce onsubmit="return checkform();"的代碼，不難看出，這個(gè)onsubmit觸發(fā)的函數(shù)就是檢查標(biāo)題字?jǐn)?shù)的代碼，我們刪掉onsubmit=”return checkform();”，然后把a(bǔ)ction補(bǔ)全，標(biāo)題內(nèi)填入<sc太陽(yáng)pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽(yáng)pt>，內(nèi)容隨便寫些東西，提交，在隨后刷新出的頁(yè)面里，優(yōu)雅得彈出了我們的對(duì)話框，跨站成功。(圖二)  

  

最新評(píng)論