声明:原创文章,转载请指名来自华夏黑客联盟(),违者必究! 作者:陈小兵 编辑整理:admin 原创不容易,转载请注明出处,谢谢! 【hxhack.com {dj2}特稿】相对过去几年,现在的网站安全提高了很多,但在实际情况中还存在中一些不注意的细节,就网站本身来说已经很安全了,程序上基本不存在漏洞,服务器权限也设置的比较严格,通过旁注也不能获取网站系统的shell,可以说在没有特殊的情况,基本很难拿到网站数据。然而一些管理员往往在对网站进行备份和维护时,由于遗忘或者大意,在在对网站代码进行处理后,未及时删除整个网站源代码和数据的压缩文档,因此给网站带来很大的安全隐患,本文就针对这种情况介绍了一个实际的案例,尽管该网站已经不存在了,但对从事网站维护和安全管理的人员还是有一定的借鉴意义,有关更多的技术探讨,请去我们的技术论坛——华夏黑客联盟论坛()一起探讨。 1.获取网站源代码 获取网站源代码有多种方式,一种就是通过分析网站的关键字、版权等信息,进而获取系统采用什么版本的软件系统,{zh1}到官方下载站点进行下载;另外一种就是通过漏洞检测程序进行扫描检测,当网站根目录中存在压缩文档,即可给出扫描结果。有些时候也可以手工检测,例如在网站地址后加上web.rar、wwwroot.rar、以及以网站名称命名的压缩文档,例如本例中的blogdj.cn.rar;一般来说可以适当的借助社工进行猜测。如图1所示,直接输入就可以进行下载,从图1中我们看到该压缩文件有634M,应该是该网站源代码和数据的整个压缩文件,将其下载到本地进行分析。 图1 下载网站源代码 2.分析网站源代码 从下载的网站源代码中我们知道该网站系统是blog和cms的结合体,从中主要寻找数据库连接文件,由于是php编码的,因此重点寻找config.inc.php之类的文件。在asp中重点寻找conn.asp、db.asp、config.asp以及dbconn.asp等;在asp.net中重点寻找web.config等涉及数据库连接的文件,如图2所示,找到该的是Mysql数据库连接文件。数据库文件一般在当前根目录或者includes这类的文件夹下。从图2中我们知道该数据库可以直接使用 用户“Root”和密码“7419638520”进行连接,且数据库用户名称“blogdj”,对应该数据库的密码是“bbd123”。 图2 获取数据库连接文件 3.查看该网站数据库端口开放情况 先使用命令“ping blogdj.cn”获取网站IP地址“121.11.253.154”,然后使用“sfind –p 3306 121.11.253.154”查看MySQL数据库3306端口是否开放,如图3所示,服务器上3306端口对外开放,可以从本地连接服务器。 图3 获取服务器IP地址和数据库端口开放情况 4.从源代码中获取有用信息 通过分析网站源代码,发现网站中直接使用phpMyAdmin来管理数据库,在浏览器中输入地址后出现一个登录窗口,输入数据库名称和密码,成功登录,如图4所示,在本例中输入的是root用户和密码,进入后可以对整个MySql中的数据库进行管理。 图4 使用phpMyAdmin成功进入数据库管理 5.管理和操作数据库 如图5所示,在phpMyAdmin管理界面的左边,我们选择blogdj(35),该数据表明blogdj一共有35个表,在该列表中我们还可以选择其它数据库进行查看,在图5中我们可以直接修改数据库表中的数据,可以新建表,删除表中的数据等操作,还可以直接导出webshell。phpMyAdmin提供的功能非常强大,在图5中我们可以查看该网站的管理员用户名称和密码,通过修改或者xx密码,可以直接以管理员身份登录该网站系统,总之在这种情况下可以进行很多操作。 图5 操作blogdj数据库 5.防范与总结 就本例而言,数据库密码也不是那么轻易被xx的,由于管理的疏忽在网站根目录中保留了网站源代码的压缩文件,一旦这些文件泄露,那么将给系统带来很大的安全隐患。因此在平时的安全维护中可以采取一些安全措施: (1)查看网站目录存在的文件,有无特殊文件,例如压缩文件,编辑器编辑后备份文件,如果有,建议复制到其它的地方或者直接删除。 (2)如果不涉及文件下载,那么可以对网站进行设置,是网站不支持rar文件直接下载。 (3)定期维护网站,观察网站中的蛛丝马迹,以不变应万变,有时间还可以分析一下IIS的日志文件查看是否有rar下载。 我们下一次再见。谢谢大家,更多内容可以到论坛查看。 【华夏黑客联盟{dj2}特稿,转载请注明出处及作者,谢谢合作!】 |