如何防止黑客利用新的DeDeCMS漏洞入侵

  开学了,返校了,又在宿舍上网了,但现在的校园网安全吗?暑假中,DeDeCMS系统曝出了严重的漏洞,这个系统在很多学校的校园网中存在,黑客利用该漏洞就可以控制校园网,进行挂马、嵌入病毒……不过校园网中不乏电脑高手,下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

  我的网名叫“红帽”,我猜每一个大学校园里,都有像我这样的一号人,我们对电脑充分的了解,面对互联网海洋时,就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西,只要它存在于互联网之中,或者在互联网中生活过一段时间,我都能够帮助你找到源头,或者帮你把你感兴趣的东西弄到手。你猜对了,我就是黑客,活跃在校园里面的黑客。

  我自认为算是高手,帮同学从别的黑客手里盗取回被窃的账号,在网吧让一个讨厌鬼不停的更换电脑,也曾经尝试着入侵NASA的计算机网络。

  这段日子正是开学的日子,我准备对我的学校网站进行了一次安全检测。或许你要问,为什么要对自己学校的网站进行安全检测?我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统),这个系统在很多学校中被使用。

  博弈主题:攻击DeDeCMS整站系统

  技术难度:★★★★

  重点知识:如何用新的DeDeCMS漏洞来入侵

  DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头,真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞,不知道网管补上该漏洞没有,如果没有补上,大家回校后上校园网就危险了。

  DeDeCMS身藏URL编码漏洞

  这次DeDeCMS新出的漏洞是一个URL编解码漏洞,导致漏洞出现的原因是DeDeCMS的设计者在joblist.php、guestbook_admin.php等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息,例如管理员密码、加密key等,一旦这些敏感资料被黑客掌握,要在校园网内挂马就是轻而易举的事情了,真危险。

  小知识:编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的,它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息,经过加密的内容不知道编码标准的人很难识别。

  实战入侵

  既然知道了漏洞的成因,下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵,一种是PHP脚本的入侵方案,采用这种方案,需要先在自己的本机调试好PHP解析环境,然后登录入侵的目标网站,在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂,因此我使用第二种进行检测,通过漏洞检测注入程序直接注入。

  首先,登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》,点击“Target Infomation”标签选项,在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框,这里利用DeDeCMS的网站路径地址“./include/htmledit/index.php”得到网站的物理路径。

  在登录系统之后,复制浏览器地址栏中的网站路径,例如[url=http://www.hacker.com/dedecms5/include/htmledit/index.php?modetype=basic&height[]=chinaren]http://www.hacker.com/dedecms5/include/htmledit/index.php?modetype=basic&height[]=chinaren[/url],然后复制粘贴提交测试,粘贴完成后点击“Check”按钮,测试网站是否符合条件。

  在提示网站为“Ready!”可读后,再点击下方的“Get!”按钮。此时,如果“File_priv”一项提示为“YES”,就可以顺利的获得网站主机的物理路径,表示该网站存在漏洞,可以入侵(图1)。

  

 图1

  在“File_priv”一项提示为“YES”之后,点击“Get the shell”标签选项,然后在“PHP Code”后方输入PHP后门代码,在“Save Path”中输入后门文件保存的路径,之后点击“Get!”提交即可(图2)。提交完成后,打开IE浏览器,输入后门地址,查看后门页面是否提交成功。如果成功提交完成,我们此时就获取了该网站的控制权了。

  

 图2

  小知识:如果不能进行union查询,那么就只能够自己使用“Get the hash”猜解获取hash表后,再破解进入网站管理后台去拿取网站控制权(图3)。

  

  图3

  防范策略

  目前DeDeCMS已经推出了官方补丁(下载地址:http://www.shudoo.com/bzsoft),打上补丁后尽快避免黑客利用该漏洞入侵了。此外,学校开学后,校园网中的病毒传播和局域网入侵会增多,大家要做法相应的准备。安装并更新杀毒软件,最好配合使用一些安全辅助工具,关闭系统的默认共享、关闭系统的一些不常用的端口、使用我们提供的最新HOSTS反黑文件,如果宿舍中有共用一台电脑的情况,还要在系统中给不同用户设置不同的权限(以上这些操作的具体步骤请到http://www.shudoo.com/bzsoft下载)。

时间: 2024-09-16 02:16:27

如何防止黑客利用新的DeDeCMS漏洞入侵的相关文章

报道称黑客利用微软IIS安全漏洞 入侵大学服务器

微软的网络资讯服务(IIS)一出现安全漏洞,没多久黑客就利用漏洞发动零日攻击. 印第安纳州博尔州立大学(Ball State University)向The Register透露,该校执行IIS程序的服务器在周一遭到黑客入侵,同日微软才提醒社会大众注意这个安全漏洞. 根据The Register周三报道,学生们周一访问自己的iWeb网页时,就看到系统遭到黑客入侵的信息.这不表示资料遭窃或被载入恶意文档,不过该校计算服务咨询部门资深管理员Patty Lucas说,这些iWeb帐户暂时不能访问,可能

黑客利用金山WPS软件漏洞攻击政府部门

中介交易 SEO诊断 淘宝客 云主机 技术大厅 随着斯诺登曝光美国棱镜门,各方对于信息安全的重视程度大大提高,各国政府对于互相进行网络攻击的指责也甚嚣尘上.就在近日,一个专门针对中国政府部门的APT(定向攻击)被公开曝光,黑客利用金山WPS办公软件0day漏洞对中国政府部门进行钓鱼邮件定向攻击. 什么是APT攻击和0day漏洞 APT是近年来流行的针对政府和大型公司的一种高级攻击手段,具体含义是:针对特定目标的持续性攻击,具有针对性强.隐蔽性强.持续时间长等特点.而0day漏洞,是指已经外界发现

Struts2 新漏洞(S2-052)出现利用实例,面对漏洞企业应当分秒必争

9月5日,千疮百孔的 Struts2 应用又曝出存在新的高危远程代码执行漏洞(S2-052).该漏洞由 lgtm.com 的安全研究员汇报,编号为 CVE-2017-9805 ,漏洞危害程度为高危(Critical).其实,相似的漏洞已经在 Struts 中多次发现,今年早些时候攻击者还利用了 Windows 服务器中的 Apache Struts 漏洞散发 Cerber 勒索软件. 近日,来自思科 Talos 实验室和 NVISO 实验室的研究员也发现,已经有攻击者真实利用了 S2-052 的

iPad黑客因利用AT&T服务器漏洞而获罪

本文讲的是 :  iPad黑客因利用AT&T服务器漏洞而获罪  ,  [IT168 评论]FBI在2011年起诉Andrew Auernheime,即知名黑客"weev",指控他利用AT&T服务器的安全漏洞,盗取了大约11.4万iPad 3G网络用户的电子邮件地址.安全漏洞在当时成为了媒体头条,因为weev 能够利用它获取一些知名人士的邮件地址,如纽约市长 Michael Bloomberg,Diane Sawyer 和 Rahm Emanue. Weev 随后被法庭定

WP8.1系统也曝出漏洞 恐被黑客利用获得应用权限

再完善的系统,一定都存在漏洞,都有可能被黑客利用.Windows Phone 8.1已经发布有一段时间了,虽然它没有Android和iOS那样受欢迎,但是这并不妨碍黑客们寻找存在于它内部的漏洞.最近,来自XDA开发者论坛的黑客就在WP8.1系统上发现了一个比较重大的漏洞,名为DJAmol的黑客发现一个简单方法可以替换OEM可信赖应用内容,该应用转移到SD卡后可以继承原生应用的权限.DJAmol通过Info and Settings进行了试验,他将Info and Settings移动到SD卡,然

黑客利用安卓主密钥漏洞在华传播病毒

  本文讲的是 :   黑客利用安卓主密钥漏洞在华传播病毒 ,  7月25日消息,据国外媒体报道,网络安全技术开发商赛门铁克(Symantec)公司声明已确认第一个已知恶意利用Android主密钥漏洞.本月早些时候一家安全研究公司第一次公布该漏洞,并指出攻击者可以通过漏洞在运行谷歌操作系统的手机上安装代码,然后控制Android手机. 赛门铁克表示其研究人员已监控到中国已出现两个应用程序被黑客利用溢出感染. 谷歌已采取行动来解决问题,并在两周前给手机制造商发布补丁,但是补丁尚未普及到各手机用户手

黑客利用软件漏洞贸易牟利 买家包括NSA

 本文讲的是 :  黑客利用软件漏洞贸易牟利 买家包括NSA  ,   一旦曝光漏洞变成了免费.或者需要无偿提交给软件厂商,那么查找和制作安全漏洞的业务,就会发展成为一个对世界各地的支持公司和自由黑客们来说"有利可图"的生意.在<纽约时报>的一篇剖析文章中,Nicole Perlroth和David Sanger探访了最近刚"洗白"的地下黑客社区,在那里,一个由价值的Windows.Linux或iOS的0-day漏洞,甚至能够获得5到6位数的报酬--而大

黑客利用此漏洞可盗走网站用于加密在线交易和 web 连接的密钥

本月初,一家叫做Codenomicon的安全公司在全世界最大的开源加密服务 OpenSSL 中找到了一个严重漏洞,黑客利用此漏洞可盗走网站用于加密在线交易和 web 连接的密钥,受影响的服务器数量可能多达几十万,在圈子里造成了严重恐慌.幸好,Codenomicon在公布漏洞消息的同时也发布了补丁.不过比起亡羊补牢,更好的做法是防患于未然. 近日,包括Google.微软.Facebook在内的十二家科技巨头就发起了一个叫做 the Core Infrastructure Initiative的项目

三流黑客即可利用的CPU缓存漏洞 HTML5浏览器全部中招

本文讲的是三流黑客即可利用的CPU缓存漏洞 HTML5浏览器全部中招,哥伦比亚大学的四位研究人员认为,可以通过CPU缓存来监视用户在浏览器中进行的快捷键及鼠标操作. 该漏洞对最新型号的英特尔CPU有效,比如Core i7.另外,它还需要运行在支持HTML5的浏览器上.总的来看,约有80%的台式机满足这两个条件. 哥伦比亚大学的四位研究人员设想了这种攻击:通过恶意网络广告向用户投放JavaScript,然后计算数据到达CPU三级缓存的时间,进而推断用户正在进行的具体操作. 研究人员提醒谷歌.微软.