会碰到有人问
“黑一个网站需要多长时间?”
“怎样去黑站?”之类的不大不小的问题,
一般而言,这个过程是比较烦琐的,可能涉及
到检测注入点、破解MD5密码、扫描开放的端口和后台登录地址等操作(如果想拿WebShell的话还需要上传网马)。不过凡事也不都是绝对的,有的网站可以在瞬间就被拿下,尤其是那些使用统一模板的网站,
当模板系统出现问题时往往会引发连锁反应。在此与大家共享一个因为默认设置懒得修改而导致数据库被下载、从而进入网站后台管理的小案例。
像“汇成企业建站CMS系统”,其默认的版权信息是“版权所有@2003-2020汇成企业建站CMS系统”(一般都在首页的最下方),我们可以直接以这个版权信息作为关键字来进行Google或百度。找到使用该CMS系统的网站之后,就可以来构造URL来尝试下载它的数据库了——这也是汇成此次“上镜”的最大亮点:默认的数据库可以下载,是Da;tabases目录下的huicheng.mdb,也算是一个小规模的批量“脱库门”事件了。
先来看第一个目标网站吧,武汉市某有限公司,首页下方果然有“版权所有@2003-2020汇成企业建站CMS系统”字样,直接在域名之后添加“/Databases/huich eng.mdb”,一回车,立刻出现了数据库下载的提示。接着使用明小子的“数据库管理”打开它,找到Admin表,账号和MD5密码出来了:admin/a972a74!。直接点击首页下方的管理入口访问,出现后台登录界面,将账号admin和破解的MD5密码【zhzfh1012】输入后点击“进入系统”按钮,成功进入了网站后台。
既然是一套CMS系统出了问题,中招的就不是一个两个网站了,接着再来测试几个目标,操作方法与上面的完全相同。
第二个目标:武汉某公司,默认数据库下载、打开查看管理员账号信息(gzfengtal/5376aOdf57b90ff9【破解结果竟然是:hackerxx】)、点击“管理进入”进行登录(/admin/login.asp)、成功进入后台管理。
第三个目标:北京某维修网,默认数据库下载、打开查看管理员账号信息(admin/83d26a727afa7339【破解结果是:afu999】)、点击“管理进入”进行登录(/admin/login.asp)、成功进入后台管理。
第四个目标:山东某环保技术有限公司,默认数据库下载、打开查看管理员账号信息(admin/7a57a5a743894aOe【破解结果是:admin】)、直接在网站域名后添加“/admin/login.asp”访问其默认的登录页面(没有“管理进入”链接)、成功进入后台管理。
不用再继续了,四个网站已经足以说明问题了——都是“默认”惹的祸:
【默认的版权信息:版权所有@2003-2020汇成企业建站CMS系统】
危害:被Google成百度收入搜索数据库中,从而被人盯上:对策:修改或直接删除这样一些暴露模板的敏感信息。
【默认的数据库地址和名称:/D atabases/huicheng.mdb】
危害:被构造的“域名+/Databases/lmicheng,mdb”URL直接下载包含管理员账号和MD5密码信息;对策:修改数据库的路径和名称、采用防下载措施(比如名称前多加几个特殊字符)、设置复杂度极高的密码。
【默认的管理入口链接和后台地址:“管理进入/管理入口”、/admin/login.asp】
危害:给别人尝试登录提供了最直接的方便;对策:删除首页下方的“管理进入”链接、修改后台登录地址。其实,这次“汇成企业建站CMS系统”的“脱库门”根源还不止提到的这三个“默认”,它还存
在着注入漏洞,确切地说是Cookie注入漏洞。以第三个目标网站为侧吧,找到一个貌似注入点的链接,将它放人明小子中跑一下,结果直接就会被提示“检测失败,该URL不可以进行注入!”。果真不可以注入吗?测试一下,答案马上就见分晓。
在360浏览器地址栏中该链接的最后添加英文的半角引号,回车访问一下,结果出现“传参错误!”的提示,像“and、update、insert”之类的探测注入信息的特殊字眼儿都被记录在该CMS系统的“防注”黑名单中。不过,像这样一些唬人的幌子是吓不倒我们的:先打开“注人中转生成器”(寂寞的刺猬)生成jmCook.asp文件;然后,在本地架起超级小旋风AspWebServer,访问一下,看是否正常;最后,再用明小子检测,这下提示“恭喜,该URL可以注入!”了,一会儿的工夫我们就得到了管理员账号和MD5密码:“username内容:admin,password内容:83d26a727afa7339”,与之前下载到的数据库中的账号与MD5密码是吻合的。
现在,让我们再回到开头那个关于“黑站”的话题。看,如果有了这样的“默认”连锁脱库反应,相信技术再弱的初学者也会很快进入到一些网站的后台,
“黑站”变得易如反掌了呢?
个人依然是非常诚恳地建议大家还是以学技术为主导,不要去试探法律的底线。
不是大哥不打你,只是你还没有碰到他的底线
领取专属 10元无门槛券
私享最新 技术干货