快捷導(dǎo)航

漏洞漫舞的飛騁

更新時間：2007年01月16日 00:00:00 作者：

作者：玄貓[B.C.T]
網(wǎng)站：http://www.cnbct.org/&http://www.blackwoods.cn/
原件: http://www.cnbct.org/xuan1.doc
轉(zhuǎn)載時,請注意版權(quán),發(fā)于黑X2005年7期

一、前言。

初識飛騁似乎還是2002年，那時它推出了一個似乎叫飛騁郵局的東西，提供280M的空間(在當(dāng)時算很大了)，當(dāng)時學(xué)SQL Injection的時候，曾用它練過手，現(xiàn)在這個站發(fā)展的不小，于是再對它作次安全檢測吧，發(fā)現(xiàn)漏洞漫天飛舞啊，而且很有意思，整個網(wǎng)站哪個欄目的系統(tǒng)都是各有特色，有.net的，有php的，還有asp的，真不知道他們是多少個人一點(diǎn)一點(diǎn)拼著開發(fā)起來的，而且他們用什么樣服務(wù)器，怪啊～其實由此就可以看到他們的技術(shù)不專業(yè)性。從檢測的結(jié)果來看，漏洞出的都很幼稚，好了，撿我發(fā)現(xiàn)的一些比較典型的漏洞給大家逐個介紹下(注入的漏洞就不說了吧，因為貓貓懶得找注入點(diǎn)了，大家可以自己找找看，有很多的，但是錯誤提示是關(guān)閉的。)，爭取能包含大部分常見網(wǎng)站程序漏洞吧。

二、網(wǎng)站程序漏洞介紹。

玄貓的習(xí)慣是先從系統(tǒng)功能來看，這個地方出的漏洞一般都是比較危險的。

1、取回密碼驗證不嚴(yán)導(dǎo)致可以修改任意用戶的密碼漏洞。

人在江湖走，難免忘密碼，找回密碼功能當(dāng)然是現(xiàn)在涉及會員管理的網(wǎng)絡(luò)程序的”標(biāo)配”了，但是找回密碼功能容易出現(xiàn)一個大的紕漏就是驗證不嚴(yán)，我們來看：

注冊一個用戶名為BlackCat的用戶，然后點(diǎn)擊首頁的”忘記密碼”按鈕找回密碼，看程序的流程，先是輸入用戶名，然后是填寫提示問題的答案，然后就是修改密碼了(讀者：又一個用廢話騙稿費(fèi)的)。我們把這個第三步的頁面保存下來，用UltraEdit打開看源代碼，讀到118行的時候，我們看到這樣一行代碼<input name="g_username" id="g_username" type="hidden" value="blackcats" />為了照顧不懂Html的讀者，我講下這段代碼的含義，這是一個隱藏的文本域，值為blackcats，即我們要找回密碼的用戶名，因為隱藏域在網(wǎng)頁上是不顯示的，所以許多程序員都用它來傳遞參數(shù)，但是這里用這種方法就導(dǎo)致了一個極其嚴(yán)重的漏洞，為了方便講解，我們再注冊一個叫”BlackWoods”的用戶，密碼設(shè)為123456。注冊成功后，我們來修改保存到本地的網(wǎng)頁文件，把value=”blackcats”改為value=”BlackWoods”，然后把文件第93行的action="getpassword_2.aspx"改為action=" http://www.fc****.com/reg/ getpassword_2.aspx"，打開這個網(wǎng)頁，在輸入新密碼的地方輸入654321，然后提交，顯示修改成功，我們用123456的密碼登陸用戶BlackWoods會發(fā)現(xiàn)密碼錯誤了，再用654321登陸，成功，這就是嚴(yán)重的由于驗證不嚴(yán)導(dǎo)致的隨意修改用戶密碼的漏洞。

再來看它提供的服務(wù)有哪些漏洞。

2、網(wǎng)絡(luò)曰記內(nèi)容跨站漏洞。

首先來看曰記服務(wù)，一般來說對于像曰記這種一個人寫，N多人看的東東，我們要考慮的就是XSS跨站漏洞了，(千萬不要小看跨站，我覺得輻射魚在這方面頗有研究，他經(jīng)常能提出除了盜cookies的更強(qiáng)的利用方法，譬如直接利用管理員的表單來進(jìn)行一些操作，大家可以看看以前的雜志)。在下面的內(nèi)容中，我們試著用代碼<sc太陽pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽pt>來測試能不能在頁面上運(yùn)行我們的Javasc太陽pt腳本。

我們打開一個寫曰記的頁面，先測試內(nèi)容能不能寫跨站腳本，曰記標(biāo)題隨便寫，內(nèi)容寫個<sc太陽pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽pt>，然后去看看，不難看到，我們寫的sc太陽pt被替換成了s c太陽pt，(圖一)

中間多了個空格，再來改變大小寫試試，內(nèi)容寫<Sc太陽pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽pt>，還是不行，看來要想個變通的方法了，我們找找還有哪些是可以輸出的，對了，標(biāo)題，可是有的朋友會有疑問，標(biāo)題就讓寫10個字，不夠啊，我們再來把文件保存到本地，研究form的驗證：232行有個<FORM id=frmAnnounce name=frmAnnounce onsubmit="return checkform();"的代碼，不難看出，這個onsubmit觸發(fā)的函數(shù)就是檢查標(biāo)題字?jǐn)?shù)的代碼，我們刪掉onsubmit=”return checkform();”，然后把a(bǔ)ction補(bǔ)全，標(biāo)題內(nèi)填入<sc太陽pt>alert(“玄貓啊玄貓，玄貓要高考咯”)</sc太陽pt>，內(nèi)容隨便寫些東西，提交，在隨后刷新出的頁面里，優(yōu)雅得彈出了我們的對話框，跨站成功。(圖二)