Admin目录,很明显是管理员才能进的目录,里面可能有着大堆的敏感操作,偶就是利用从这些后台的操作进来的,你怎么就不知道改个名字呢?databases目录竟然是默认的数据库,我就是从那个目录下载的数据库,你都不知道改一下默认数据库的地址啊!真被你气死了。再看看uploadnews目录,虽然你在系统上把网站程序文件设置为不可写,可是这里是上传图片用的,所以还是被你设置可写了,算了,等下说到IIS服务器漏洞的时候再手把手教你好了。网站的程序不怕漏洞百出,只要经过巧妙的配置,不被利用就可以了,你的网站程序漏洞实在太多,web程序漏洞几乎应有尽有,说一个一个的补丁上,那不现实。偶也没时间一个一个分析,只能把如何防御入侵教给你。
默认的数据库地址,导致两个管理员的密码暴露,用户“admin”,密码加密的。MD5加密的确安全,但是你的密码是“77169”这样的纯数字,破解只需要几分钟而已,可别告诉我说这也是你的银行卡密码哦?或者是私人邮箱的?或者企业对外业务邮箱的?上次有个很重要的密码竟然是“数字加大小写字母加特殊字符的不规则序列”,害偶的肉鸡跑了几个月硬是没效果,只好放弃。
有密码,又有默认的管理目录,就像黑暗中的明灯指引着偶。更何况后台具备数据库备份和文件上传功能,其实偶一直很奇怪,数据库备份一定要在网站后台备份么?大家都喜欢把asp木马改名为gif文件,通过正常的上传文件功能上传,然后再利用备份数据库的功能把它备份成ASP文件。这样就可以绕过上传文件中的“只能上传图片文件”的限制。你既然是网站管理员,应该能够使用FTP登录上去把数据库备份文件下载到自己的机器上才对。
网站的跟目录没有写的权限,却可以上传文件,说明上传文件目录是可写的。所以ASP木马自然可以备份到那里。怎么?你说这个目录是常用的,必须要有写的权限?好吧,最终的防御,IIS+文件访问权限配置。再来看看这个网站程序的目录结构,需要写的目录有“upload系列目录”、“databases目录”。这部分的文件权限,你设置的还不错,但是缺少IIS的配合。在可以web访问的目录中,凡是需要写权限的目录,应该都是没有asp文件的。你只需要在IIS 下,选中这些没有asp文件的目录(upload系列目录),点属性->主目录(或站点下目录->属性->目录)面板->执行权限下拉列表,在列表中选择“无”。这样即使这些目录中被上传了asp木马,也不能执行。
Database目录的权限需要重新设置,偶教你一招比较毒的,在IIS控制面板下,删除不必要的应用程序映射IIS默认存在很多种应用程序映射,如:“.cer、.cdx、.asa”,为整个站点添加一个新的映射,到windows目录里随便找个最小的DLL文件,让它解析.MDB文件。这样设置后,当用户访问.MDB文件时,IIS会调用DLL来解析,但是发现解析不了,造成了不能访问所有的MDB文件,整个网站的MDB文件都不可能被下载。
当然,网站程序中还有注入漏洞,会被拿到管理员密码,没关系,你的管理员目录不是改了么?即使还被找到了,密码也是前面的BT密码,入侵者拿到了也没用。记得后台一定要隐藏起来,因为后台里的功能太敏感,有多敏感你就不用知道了,只要把目录改为类似于“/fbhdj90tc099D52it168afd52ixpubjskhatttttccf/”。一定要长于20个字符,否则会被扫描出来。最后一点,才是更有意思的,偶发现贵公司的服务器上似乎还有其他的网站程序,太好了,入侵一个网站,等于入侵N个,嗯,偶去“提醒”其他管理员去。怎么?都是你维护的?好吧。
一个网站只对应一个IIS用户,每个IIS用户都只能访问自己的网站目录,绝对不能让everyone的权限可以遍历所有的文件夹。只要有一个网站,就必须在系统新建一个GUEST权限的账户,把IIS交给这个新建的用户管理,保证这个用户只能访问自己目录。
好了,看到了这里,你应该有了一定的思路去防御了吧?只要是入侵,必定先有个路线,你把它堵死了,自然就进不来了。当然,偶毕竟是个外来人,你可不能完全信任偶说的话,应该再到google上搜索下关于“IIS权限配置,windows2003权限配置”的文章,看完了写篇3W字的读后感。最后提醒一句,小心偶留在服务器上的asp后门。说不定偶那天闲了,会带吃肉不吐骨头的专业人士从留下的后门回来看看的。
BY 中国X黑客小组(临走栽赃陷害下^_^)
信写完了,把它放在网站唯一的可写目录“Uploadnews”下,然后以管理员的密码为题,给他EMAIL一个,告诉本文档在服务器的路径,相信聪明的管理员一定能从信中的蛛丝马迹中找到防御的方法,不知道看了以后是什么反应,有了EMAIL他再会联系的,继续黑站挂马去了,赚钱啊。
退出角色,从信中,大家应该能看到偶的入侵路线,利用的都是近年流行的漏洞和入侵手法,考虑到再写出来没什么吸引力,所以换个角度去写。文章中提到的目录还有权限设置都是IT168这次大赛中的真实设置,关于拿到了通关文件后,一直无法破译里面的加密密码,所以没有拿到最后的文件。文章完成后,朋友建议说让偶最好从代码的角度入手,代码补漏。感谢朋友的建议,偶本身就是做程序员的,写起来也得心应手,可是考虑到这个asp程序的漏洞实在太多,又考虑到企业的成本以及管理员的技术水平,有修改代码的功夫,还不如剑走偏锋,随手修改掉管理目录。针对这个模拟环境,改代码漏洞略显不明智,正所谓“没有绝对正确的解决方案,只有相对适合的”。相对于写代码漏洞,我想企业更倾向于把目录隐藏起来,让黑客即使知道了密码也无法入手,只能停止攻击。
文章中反映出的一些东西,比如黑站挂马的事情,也都全都符合现状,最后的结局有些“黑暗”,但并不是每个故事都是有美好的结局的,这样的结局应该更能发人深思。