作者:玄猫[B.C.T]
网站:http://www.cnbct.org/&http://www.blackwoods.cn/
原件: http://www.cnbct.org/xuan1.doc
转载时,请注意版权,发于黑X2005年7期
一、前言。
初识飞骋似乎还是2002年,那时它推出了一个似乎叫飞骋邮局的东西,提供280M的空间(在当时算很大了),当时学SQL Injection的时候,曾用它练过手,现在这个站发展的不小,于是再对它作次安全检测吧,发现漏洞漫天飞舞啊,而且很有意思,整个网站哪个栏目的系统都是各有特色,有.net的,有php的,还有asp的,真不知道他们是多少个人一点一点拼着开发起来的,而且他们用什么样服务器,怪啊~其实由此就可以看到他们的技术不专业性。从检测的结果来看,漏洞出的都很幼稚,好了,捡我发现的一些比较典型的漏洞给大家逐个介绍下(注入的漏洞就不说了吧,因为猫猫懒得找注入点了,大家可以自己找找看,有很多的,但是错误提示是关闭的。),争取能包含大部分常见网站程序漏洞吧。
二、网站程序漏洞介绍。
玄猫的习惯是先从系统功能来看,这个地方出的漏洞一般都是比较危险的。
1、取回密码验证不严导致可以修改任意用户的密码漏洞。
人在江湖走,难免忘密码,找回密码功能当然是现在涉及会员管理的网络程序的”标配”了,但是找回密码功能容易出现一个大的纰漏就是验证不严,我们来看:
注册一个用户名为BlackCat的用户,然后点击首页的”忘记密码”按钮找回密码,看程序的流程,先是输入用户名,然后是填写提示问题的答案,然后就是修改密码了(读者:又一个用废话骗稿费的)。我们把这个第三步的页面保存下来,用UltraEdit打开看源代码,读到118行的时候,我们看到这样一行代码<input name="g_username" id="g_username" type="hidden" value="blackcats" />为了照顾不懂Html的读者,我讲下这段代码的含义,这是一个隐藏的文本域,值为blackcats,即我们要找回密码的用户名,因为隐藏域在网页上是不显示的,所以许多程序员都用它来传递参数,但是这里用这种方法就导致了一个极其严重的漏洞,为了方便讲解,我们再注册一个叫”BlackWoods”的用户,密码设为123456。注册成功后,我们来修改保存到本地的网页文件,把value=”blackcats”改为value=”BlackWoods”,然后把文件第93行的action="getpassword_2.aspx"改为action=" http://www.fc****.com/reg/ getpassword_2.aspx",打开这个网页,在输入新密码的地方输入654321,然后提交,显示修改成功,我们用123456的密码登陆用户BlackWoods会发现密码错误了,再用654321登陆,成功,这就是严重的由于验证不严导致的随意修改用户密码的漏洞。
再来看它提供的服务有哪些漏洞。
2、网络曰记内容跨站漏洞。
首先来看曰记服务,一般来说对于像曰记这种一个人写,N多人看的东东,我们要考虑的就是XSS跨站漏洞了,(千万不要小看跨站,我觉得辐射鱼在这方面颇有研究,他经常能提出除了盗cookies的更强的利用方法,譬如直接利用管理员的表单来进行一些操作,大家可以看看以前的杂志)。在下面的内容中,我们试着用代码<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>来测试能不能在页面上运行我们的Javasc太阳pt脚本。
我们打开一个写曰记的页面,先测试内容能不能写跨站脚本,曰记标题随便写,内容写个<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,然后去看看,不难看到,我们写的sc太阳pt被替换成了s c太阳pt,(图一)
中间多了个空格,再来改变大小写试试,内容写<Sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,还是不行,看来要想个变通的方法了,我们找找还有哪些是可以输出的,对了,标题,可是有的朋友会有疑问,标题就让写10个字,不够啊,我们再来把文件保存到本地,研究form的验证:232行有个<FORM id=frmAnnounce name=frmAnnounce onsubmit="return checkform();"的代码,不难看出,这个onsubmit触发的函数就是检查标题字数的代码,我们删掉onsubmit=”return checkform();”,然后把action补全,标题内填入<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,内容随便写些东西,提交,在随后刷新出的页面里,优雅得弹出了我们的对话框,跨站成功。(图二)