警惕:网站程序默认的危险文件
2012-07-15 20:44
183 查看
作者:佚名 来源:www.hack58.com 发布时间:2006-7-15 0:30:25 发布人:noangel
减小字体
增大字体
随 着互联网的兴起,越来越多的人想拥有自己的网站,可是许多人都不太懂做网站或者是没时间做,所以借用别人的源码便成了一种流行的方式。正因为如此,才造就 了如此不平静的网络世界,因为程序漏洞无处不在。许多朋友谈起论坛就首先想到的是动网,因为它确实是国内最优秀的ASP论坛程序,所以许多的网站都用动网 论坛架设自己的论坛。也正因为动网的广泛使用,所以读它代码研究漏洞的人是越来越多,当然漏洞是一次又一次的被发现,各网站的管理员是一次又一次的为动网 而烦恼,而伤神。
好了,扯远了,我们这里从动网的安装文件说起,让大家知道你的网站是如何被人攻击的。
一.从动网key.asp文件谈起
动网的key.asp文件说明书是这样写的:
1、请把压缩包中的key.asp文件上传到Dvbbs7.1论坛目录下。
2、运行key.asp后选择您所需要的选项。
3、注意:使用完毕后请点击"删除文件"或在FTP中删除key.asp文件以防留有后门。
写的够明白了,使用后要删除,可是就是有许多的网站管理员不负责,将这个危险的后门放在网站上,直到有一天,有个家伙闯了进来,改了它的首页……..时至今日,仍有些网站有这样的漏洞,不信,我给大家抓个图:
图1 网站的漏洞截图(点击看大图)
看图上的你就知道key.asp到底是做什么的啦,它可以将一个网站的管理员资料修改或者添加一个管理员。加了一个管理员后我们可以像正常的管理员一样编 辑别人的贴子,新添加一些版块什么的,这些都不算是严重的,更严重的是,前台我们发贴就可以上传图片,而后台我们可以备份数据库。试想,如果我们把一个 ASP木马保存为图片格式上传到网站服务器,然后在后台通过备份数据库功能把这个图片备份为一个ASP文件,那么我们就拿到一个webshell了。思路 很清晰,由于我这里讲的是key.asp文件的危害,就不操作了,以后的章节会有详细的讲述。
二.由动网key.asp想到的惊云下载系统漏洞
当然,互联网上并不仅公只有像动网这样的论坛程序,也还有许多其它优秀的文章系统、下载系统、留言本系统、博客程序、甚至有整站系统提供下载,笔者前不久 研究惊云下载系统的漏洞的时候无意发现其安装说明谈到用zz.asp安装,安装的时候就是设置站长的账号和密码,当站长忘了自己的密码的时候可以通过它来 修改,正如key.asp一样的功能,但是一不小心被我找到了:
图2 zz.asp文件(点击看大图)
重新设置一个新的账号和密码,那么这个网站就是你的啦,后台随便你进。后台我们可以利用得到webshell的方法,目前网上最为流传的是利用上传漏洞得 到webshell,其实笔者通过几天的研究与测试,得到了另外两种得到webshell的方法,思路很灵活。总之,不要轻易留下后门给别人有机可乘。
三.向BBSXP学习
安装BBSXP论坛的时候,会调用install.asp来安装,装好了以后我们再把程序上传到网站上去,如果有哪个家伙还想用上面的方法来攻击你,那么 他就知道他错了,写BBSXP的程序员看来是从动网的key.asp事件里学来的呵呵。他在代码时首先检测调试者写的IP与以后再调试的IP,如果不是同 一个IP他就会报错,主要代码如下:
youip="192.168.1.123" '您本机的IP地址
if adminpassword<>"" and remoteaddr<>youip then
error("<li>为了安全起见,请编辑 <font color=red>install.asp</font> 内本机的IP地址<li>请把它设置成 <font color=red>"&remoteaddr&"</font>")
end if
当我们访问一个BBSXP论坛的这个页面的时候,会出现一个醒目的红叉:
图3 BBSXP检测IP的功能(点击看大图)
小结:
对于别人的程序,在使用前最好先好好读一下程序的说明,毕竟程序是别人写的,写个说明当然是向使用者交待一些相关信息,另外,如果懂点程序,最好改一下比如说后台呀,数据库调用文件呀之类的,当然,如果你有能力发现漏洞,你就为官方补上这些漏洞呀!
减小字体
增大字体
随 着互联网的兴起,越来越多的人想拥有自己的网站,可是许多人都不太懂做网站或者是没时间做,所以借用别人的源码便成了一种流行的方式。正因为如此,才造就 了如此不平静的网络世界,因为程序漏洞无处不在。许多朋友谈起论坛就首先想到的是动网,因为它确实是国内最优秀的ASP论坛程序,所以许多的网站都用动网 论坛架设自己的论坛。也正因为动网的广泛使用,所以读它代码研究漏洞的人是越来越多,当然漏洞是一次又一次的被发现,各网站的管理员是一次又一次的为动网 而烦恼,而伤神。
好了,扯远了,我们这里从动网的安装文件说起,让大家知道你的网站是如何被人攻击的。
一.从动网key.asp文件谈起
动网的key.asp文件说明书是这样写的:
1、请把压缩包中的key.asp文件上传到Dvbbs7.1论坛目录下。
2、运行key.asp后选择您所需要的选项。
3、注意:使用完毕后请点击"删除文件"或在FTP中删除key.asp文件以防留有后门。
写的够明白了,使用后要删除,可是就是有许多的网站管理员不负责,将这个危险的后门放在网站上,直到有一天,有个家伙闯了进来,改了它的首页……..时至今日,仍有些网站有这样的漏洞,不信,我给大家抓个图:
图1 网站的漏洞截图(点击看大图)
看图上的你就知道key.asp到底是做什么的啦,它可以将一个网站的管理员资料修改或者添加一个管理员。加了一个管理员后我们可以像正常的管理员一样编 辑别人的贴子,新添加一些版块什么的,这些都不算是严重的,更严重的是,前台我们发贴就可以上传图片,而后台我们可以备份数据库。试想,如果我们把一个 ASP木马保存为图片格式上传到网站服务器,然后在后台通过备份数据库功能把这个图片备份为一个ASP文件,那么我们就拿到一个webshell了。思路 很清晰,由于我这里讲的是key.asp文件的危害,就不操作了,以后的章节会有详细的讲述。
二.由动网key.asp想到的惊云下载系统漏洞
当然,互联网上并不仅公只有像动网这样的论坛程序,也还有许多其它优秀的文章系统、下载系统、留言本系统、博客程序、甚至有整站系统提供下载,笔者前不久 研究惊云下载系统的漏洞的时候无意发现其安装说明谈到用zz.asp安装,安装的时候就是设置站长的账号和密码,当站长忘了自己的密码的时候可以通过它来 修改,正如key.asp一样的功能,但是一不小心被我找到了:
图2 zz.asp文件(点击看大图)
重新设置一个新的账号和密码,那么这个网站就是你的啦,后台随便你进。后台我们可以利用得到webshell的方法,目前网上最为流传的是利用上传漏洞得 到webshell,其实笔者通过几天的研究与测试,得到了另外两种得到webshell的方法,思路很灵活。总之,不要轻易留下后门给别人有机可乘。
三.向BBSXP学习
安装BBSXP论坛的时候,会调用install.asp来安装,装好了以后我们再把程序上传到网站上去,如果有哪个家伙还想用上面的方法来攻击你,那么 他就知道他错了,写BBSXP的程序员看来是从动网的key.asp事件里学来的呵呵。他在代码时首先检测调试者写的IP与以后再调试的IP,如果不是同 一个IP他就会报错,主要代码如下:
youip="192.168.1.123" '您本机的IP地址
if adminpassword<>"" and remoteaddr<>youip then
error("<li>为了安全起见,请编辑 <font color=red>install.asp</font> 内本机的IP地址<li>请把它设置成 <font color=red>"&remoteaddr&"</font>")
end if
当我们访问一个BBSXP论坛的这个页面的时候,会出现一个醒目的红叉:
图3 BBSXP检测IP的功能(点击看大图)
小结:
对于别人的程序,在使用前最好先好好读一下程序的说明,毕竟程序是别人写的,写个说明当然是向使用者交待一些相关信息,另外,如果懂点程序,最好改一下比如说后台呀,数据库调用文件呀之类的,当然,如果你有能力发现漏洞,你就为官方补上这些漏洞呀!
相关文章推荐
- 警惕:网站程序默认的危险文件
- IIS起用"默认网站"出现提示"另一程序正在使用此文件,进程无法访问"
- 警惕文件分享网站 序列号生成器暗藏危险
- 安装程序制作之网站系统安装过程中给系统中应用到的数据库文件设置访问权限
- IIS网站启动不了,错误提示“另一个程序正在使用此文件,进程无法访问”
- 在WinForm程序中下载网站中的文件
- 转-Java调用本机默认程序打开各种文件(Desktop类)
- 用Java作为默认程序打开Eclipse导出的jar文件
- Windows设置.txt文件默认打开程序
- Web服务基础七之Apache日志文件管理、默认网站目录更改、防止php木马跨站设置、禁止空主机头
- 提高网站程序性能的十条建议--主要针对javascript文件和css文件
- Asp.net网站中 通过FileUpload 后台处理程序上传文件
- 一个php自动备份网站文件的程序源码
- 为win7下的无后缀文件设置一个默认打开程序
- Java调用系统默认程序打开本地文件
- iis部署网站(asp.net或者wcf)出现HTTP 错误 404.17 - Not Found 请求的内容似乎是脚本,因而将无法由静态文件处理程序来处理。
- 如何改变VC6文档程序默认的打开文件对话框
- 应用经验 技巧 XML文件作为程序的默认配置文件(C#解析)
- 用java程序模拟网站的登录以及文件批量上传
- 两个会自动下载恶意程序文件的政府网站