牟曉東

路遇網(wǎng)站，小試牛刀

這兩天，我正在幾個(gè)教育輔導(dǎo)機(jī)構(gòu)的網(wǎng)站轉(zhuǎn)悠，上這些網(wǎng)站下載資料都要求注冊(cè)，而且還要求提供手機(jī)和生日等私密信息。我決定隨機(jī)選擇其中一個(gè)網(wǎng)站，檢查一下安全性到底做得如何。

我在網(wǎng)站首頁隨意點(diǎn)擊了一條新聞鏈接，該新聞的地址顯示為：http://www. xx.com/show_news.asp?id=167&ssfl=2（域名用xx代替）。這個(gè)“news.asp?id=”引起了我的注意，這說明網(wǎng)站是基于ASP構(gòu)建，而這種形式的網(wǎng)址也往往存在注入漏洞。

于是，我打開一款名為“明小子旁注WEB綜合檢測(cè)程序”的小工具，然后依次進(jìn)入“SQL注入”→“SQL注入猜解檢測(cè)”。我將網(wǎng)站的新聞地址插入到“注入點(diǎn)”輸入框，并點(diǎn)擊“開始檢測(cè)”按鈕。很快便得知該網(wǎng)站用的是Access數(shù)據(jù)庫，網(wǎng)站存在注入點(diǎn)。

隨后，我又點(diǎn)擊程序窗口左側(cè)的“猜解表名”按鈕，得到如下信息：數(shù)據(jù)庫4個(gè)，admin、users、news和config。當(dāng)時(shí)我就震驚了，竟然有admin這個(gè)表（這個(gè)表中都是存放權(quán)限控制信息）！選中“admin”后，再點(diǎn)擊“猜解列名”按鈕，工具又解析出了表中的信息：“列名：3個(gè)，admin、password和id”（如圖1）。

哎，這網(wǎng)站安全性做得也太差了，說不定還能直接找到管理員賬號(hào)！我一邊琢磨，一邊勾選窗口中的admin和password兩列，并點(diǎn)擊“猜解內(nèi)容”按鈕來印證自己的想法。

工具雖未破解出admin的值（顯示為“—檢”），但卻找到了各賬號(hào)對(duì)應(yīng)的password信息（用MD5加密）。好在，我將密碼拿到幾個(gè)在線MD5破解網(wǎng)站破解時(shí)，卻并未成功。看來，管理員密碼很強(qiáng)壯，我舒了口氣（如圖2）。

My God，網(wǎng)站早已被黑

既然網(wǎng)站存在注入點(diǎn)，說明它還是有安全漏洞的，至少存在代碼提交過濾不嚴(yán)的問題。于是，我決定再猜猜網(wǎng)站的后臺(tái)管理頁面地址。

這次，我找來了一款名為“啊D注入工具”的小工具幫忙。啟動(dòng)程序后，切換至“管理入口檢測(cè)”窗口，在“網(wǎng)站地址”處插入新聞頁面的網(wǎng)址，并點(diǎn)擊“檢測(cè)管理入口”按鈕。很快，這廝就掃描出了一大堆“可用連接和目錄位置”（如圖3）。

根據(jù)字面意思，便能猜測(cè)出各個(gè)頁面的大致功能。比如，http://www.xx.com/ admin/index.asp，肯定是后臺(tái)管理頁面；而http://www.xx.com/UploadFile/應(yīng)該是上

傳文件的頁面。而當(dāng)我打開該上傳頁面時(shí)，發(fā)現(xiàn)該頁面竟存在目錄瀏覽的低級(jí)漏洞（如圖4）！

在該頁面中，我點(diǎn)擊“[轉(zhuǎn)到父目錄]”，結(jié)果來到了網(wǎng)站首頁?？牲c(diǎn)擊“201106”，卻發(fā)現(xiàn)了大量的JPG圖片文件。蹊蹺的是，該目錄中三個(gè)最新文件的大小都是77 536字節(jié)。難道，真有這么巧？

抱著懷疑的態(tài)度，我先點(diǎn)擊了最后一張圖片，結(jié)果卻打開了一個(gè)網(wǎng)頁！仔細(xì)一看頁面內(nèi)容才恍然大悟—這個(gè)網(wǎng)站早被黑了（如圖5）。我又點(diǎn)擊了幾個(gè)“圖片”文件看了下，竟還發(fā)現(xiàn)了上古時(shí)代的木馬—“海陽頂端網(wǎng)ASP木馬紅粉佳人版”的蹤跡。大意的網(wǎng)站管理員啊，“尼瑪”叫我怎敢來這兒注冊(cè)賬號(hào)呀！

順藤摸瓜，網(wǎng)站竟然被“脫褲”

看來，這網(wǎng)站的后臺(tái)都快成黑客們的菜園子了，但更為嚴(yán)重的問題還在后面！

還記得剛才掃描到的各個(gè)頁面嗎？仔細(xì)一看，其中還有一個(gè)http://www.xx.com/Data/，這應(yīng)該是訪問數(shù)據(jù)庫的頁面。我在瀏覽器中嘗試訪問后，果然發(fā)現(xiàn)了一個(gè)名為“#wan#hua. mdb”的數(shù)據(jù)庫，大小約為5MB。更恐怖的是，只要對(duì)其點(diǎn)擊鼠標(biāo)左鍵，就可以將數(shù)據(jù)下載到本地（如圖6）—額的神呀！這不就是傳說中的“脫褲”么？

用自己電腦的Access數(shù)據(jù)庫軟件打開這個(gè)數(shù)據(jù)庫后，我雙擊打開“users”這個(gè)數(shù)據(jù)表，300多個(gè)會(huì)員的機(jī)密信息一覽無余（如圖7）。無論是登錄賬號(hào)、MD5加密之后的密碼、找回密碼時(shí)的問題與答案，甚至是真實(shí)姓名、電子郵箱和最近一次登錄的IP地址等信息，全都盡收眼底。

雖然其中部分內(nèi)容都是使用MD5進(jìn)行加密的，但很多密碼都很簡(jiǎn)單，隨便用一個(gè)MD5破解網(wǎng)站就能直接破譯，毫無安全性可言。比如，第一個(gè)賬號(hào)“hxf1919”的密碼破解之后竟然是“dddddd”。

我用該賬號(hào)在網(wǎng)站的首頁上進(jìn)行登錄，輕而易舉地便進(jìn)入了個(gè)人頁面（如圖8）！我絕望地發(fā)現(xiàn)，這里不但可以查看和修改用戶資料，甚至還能查看賬戶中的余額等信息。

就我這樣一個(gè)菜鳥，只用了兩個(gè)小工具，竟然就獲得了這個(gè)網(wǎng)站的會(huì)員資料。要是有動(dòng)機(jī)不純的黑客獲得了這些數(shù)據(jù)，然后通過社會(huì)工程學(xué)的方法，還可以入侵我們的其他各個(gè)網(wǎng)站的賬號(hào)，微博賬號(hào)、QQ賬號(hào)、網(wǎng)絡(luò)游戲、網(wǎng)上銀行……，想想都有些后怕。

事實(shí)上，很多中小網(wǎng)站都是漏洞百出，不但存在注入漏洞，還存在目錄瀏覽漏洞和提權(quán)漏洞等。因此，它們被人“脫褲”也是常有的事兒。真想對(duì)各位網(wǎng)管們說一聲：“網(wǎng)站不但是公司的臉面，還直接關(guān)系到用戶的個(gè)人信息安全，可千萬要多加防范！”

同時(shí)，我們也可以看出，只要密碼足夠強(qiáng)壯，通過MD5加密之后還是很難被破解的。各位讀者朋友在注冊(cè)網(wǎng)站賬號(hào)的時(shí)候，也應(yīng)盡量將自己的密碼設(shè)置得更加強(qiáng)壯一些，從而避免密碼被破譯的危險(xiǎn)。