动网的论坛,是现在比较流行的论坛,很多的个人主页和一些网站的论坛,都是由它改造而来,更有许多是原封不动拿来就用的,但是,我却在无意中,发现了它存在的一个安全问题。简述如下:
先做一些准备工作,动网的论坛程序,几乎遍地都有下载,虽然我们不知道每一个论坛数据库的位置(要是哪个站长没有给数据库改名字,我们可以直接下载,那岂不是赚翻了?),但是现成的数据库里面的字段名字,我们自然可以打开看个饱。准备工作,就是先熟悉熟悉程序,看看数据库里面的字段名字。我们关心的是密码,字段名称为:userpassword。
接下来,当然自己要有一个注册ID了,如果管理员没有禁止察看会员的资料,我们任意点一个用户的名字,就会看到他的资料了。这也算漏洞?当然不是这个了,接下来,我们来看看这段代码:
对数据库操作的时候,用户的名字是来源于程序dispuser.asp的参数,例如察看用户阿呆的资料应该这样查看:
http://*********x/dispuser.asp?name=阿呆,如果用户不存在,程序会给出提示。
而在程序dispuser.asp中,读取参数的语句为:
username=trim(request("name"))
打开数据库查找用户的语句:
sql="select * from [User] where username='"&UserName&"'",
由于这个username是直接作为一个数据库的操作条件写在程序中的,所以我们可以在dispuser.asp后面的参数上想办法,例如,在username的后面加上一些其他的资料,比方说:口令。当然了,网站自然是不会直接把这个便利条件给你了,你得自己创造条件,把这个username拆开,在where username=***后面加上and userpassword="****",(天!这样子猜密码岂不是累死我们?)别急,干这个是需要一些耐心的,显然,知道口令的一些大概情况,对我们猜出口令有很大的帮助,先猜猜口令的位数吧。管理员是不会直接告诉我们的,怎么办?大家看这个地址:http://************xx/dispuser.asp?name=阿呆'%20and%20len(UserPassword)<5%20and%20'1'='1
这个地址里面,name的值就是【阿呆'%20and%20len(UserPassword)<5%20and%20'1'='1】了,这么乱?把它代换到程序里面看看:
sql="select * from [User] where username='阿呆' and len(UserPassword)<5 and '1'='1'"
看出来了么?%20就是空格啦,后面的'1'='1是为了和程序后半拉括号配对的。用户不存在?哦,明白了,原来ID为阿呆而且口令小于5位的用户不存在呀,那就是说大于5位喽,这样子,只要能显示出用户的资料,就说明猜对了,接下来,可以把小于号改成等号,再试试6、7、8位,几次就可以算出密码的位数了。这里,假设我们算出的是8位。可是,这样子还是不知道用户的密码呀?没关系,接着想办法,虽然直接猜8位的口令,困难很大,可是猜只有1位的口令,我们都还是比较专业的,呵呵... 好吧,我们就把这个猜8位口令问题转换成猜1位口令的问题。先猜右边第一位(当然了,你先猜左边的也无所谓。看自己的习惯啦!):http://************xx/dispuser.asp?name=阿呆'%20and%20right(UserPassword,1)='a,怎么知道猜对了没有呢?和上面一样啦,如果猜错了,程序告诉你:用户不存在。如果猜对了,程序会给你显示阿呆的资料的。这样子很快就可以猜出第一位了,第二位呢?很简单了,可以这样:right(UserPassword,2),已经有了第1位了,第2、3、4....8位,是不是都很简单了?只要半小时多就可以了。
知道阿呆的口令有什么意思,我想获得管理权限呢!这样子,就要先知道管理员是谁了,看看谁的口令最值得攻击。首页上面,有一个管理团队,大家注意到了么?点一下,是不是感觉大家都在向你招手:黑我吧...
当然了,阿呆写这个短文的目的,不是为了让大家去破坏,主要是为了让大家提高安全意识。对此,阿呆斗胆提出一些安全建议:
1.修改论坛默认数据库的位置,名字。
2.使用更新版的论坛程序,动网新的论坛,对口令用MD5进行了加密,已经不像前一版那样简单的就可以得到口令的明文了。
3.对dispuser.asp的name参数进行检查,不允许含有除字母、数字、汉字以外的字符。(怎么知道输入的字符串里面的是汉字呢?很简单,在IIS的ASP环境中,汉字的ASC码是负的。可以使用ASC()函数知道字符的ASC码。)或者干脆限制参数name长度不大于15,在dispuser.asp中,加入如下代码:
if len(username)>10 then
ErrMsg=Errmsg+"
用户名太长,是不是想做坏事?"
founderr=true
end if
4.对论坛中,备份数据库的默认目录和默认备份文件名称改掉,在文件admin_BackupData.asp中,改好了以后,别忘了删除原来的备份目录和文件。
本文仅供技术交流,请大家不要进行恶意的攻击,否则,一切后果自负。
附注:新版的动网论坛已经没有这个隐患了,但是,用旧版本的用户实在太多了。
阿呆
tpme@ynmail.com
阅读(495) | 评论(0) | 转发(0) |