攻防博弈

Miaodeyu@hotmail.com

接近她，校网漏洞组合拳

博弈主题：校园网络安全

本期黑客:Miaodeyu@hotmail.com

个人专长：入侵渗透

技术难度：★★★★☆

在校园网络安全中，安全的每一个环节都很重要，他们如同紧紧编织在一起的渔网，一旦一个环节出现漏洞，很可能会造成整个网站被攻陷。通过一个程序漏洞接一个程序漏洞的组合式入侵，学生小雨瞬间就瓦解了看似密不透风的选课服务器。

  日期：3月11日 ，夜 天气： 东风

自从进入她的电脑后，我一直躲在网络的背后悄悄的观察着她，在她不知不觉中，我看她聊QQ、上网、写作业、在电脑上K歌，她是一个音乐学院的可爱女孩儿。我不认为我是有偷窥欲的人，但是在无聊的校园生活中，如果能够在打开电脑时看到一个漂亮的美眉也和我一样在这个校园中生活，对我来说非常有鼓舞。我不知道上帝是不是也像我看她那样看着世界上的每一个人，但是我在透过木马观察她的时候，真的感觉自己就如同万能的上帝一样。也就是在这些日子，我发现，我恋爱了……我发现，我爱上她了……

单相思不能解决问题，我必须制造多和她在一起接触的机会，于是我决定入侵学校选课系统，通过后台查看她的课程表，修改我的课程表，我要实现的目标非常简单，入侵选课服务器，使她和我的自选课程一模一样。我立刻登陆学校的选课系统，翻腾出NBSI、阿D注入等注入漏洞扫描工具，首先对选课系统一通狂扫，很遗憾，第一轮扫描过后，我没有找到任何有利用价值的漏洞，难道就这样轻言放弃吗？

突爆管理员密码

通过扫描分析学校选课系统的服务器，我发现在这台服务器除了原有的选课系统外，还存放着另外两套网站，分别是音乐学院的CMS综合信息网站和音乐学院的研究生网站。后者用的是eWebEditor的管理平台，不过默认数据库路径已经被修改，不存在直接下载后台数据库的可能性，而根据手工分析我只找到了它的后台登陆入口，没有搜寻到任何可以利用的漏洞，综合信息网站的CMS平台成为了我最后的唯一希望。

打开主页面后，我试图寻找页面中有关这套程序的标识内容，但页面痕迹被清理的很干净，表面上没有任何与该网站程序相关的信息，这种情况下就只能够在浏览器中点击右键查看源代码排查蛛丝马迹了。

图1

果然我很快发现了一行有关这套CMS程序的信息，这条信息让我断定网站使用的系统名叫DedeCMS织梦内容管理系统。根据站长清除网页信息痕迹的手法，我推断他一定不经常给这套系统升级，于是通过漏洞尝试进攻的方法成为我的首选。通过在Google上搜索DedeCMS这个字段的相关信息，我发现今年伊始这套内容管理系统就由于在buy_action.php页面处理PID传递的忽视，导致了一个可以爆出管理员密码的严重SQL注射漏洞，而这正是我所需要的。

了解漏洞详细细节后，我开始尝试性的进行入侵。成功利用这个漏洞的先决条件是需要在所入侵的网站上先注册一个用户，但我眼前这个网站的首页没有给出任何注册所需的链接网址，看来管理员有意的将注册入口隐藏起来了。不过这难不倒我，通过与其他同类网站对比我发现只需要在入侵网站的网址后插入“/member/index_do.php?fmdo=user&dopost=regnew”这段链接网址，注册页面就会顺利打开，新用户如此简单的就注册成功。

新用户注册完成后，登陆进入个人管理页面就可以进行管理员账号和密码暴露操作了。同注册用户的操作步骤几乎一样，先将IE浏览器网址栏中的网址进行删除，仅保留网站原有http://www.XXX.edu.cn的初始网址，然后在这段网址后输入“/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/* ”，回车后网页马上进行了刷新成为了一个订单页面，在页面中的“产品名称”后面跟随的就是管理员的用户名。

图2

管理员用户名得到后，将刚才输入的内容完全删除，然后在初始网址后填入“/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*”，回车刷新后，依然是在“产品名称”一项中，我得到了密码这块敲门砖。密码虽然是以MD5加密形式出现的，但是依然可以通过数据庞大的MD5破解网站破解得到明文。

图3

eWebEditor上传木马

得到了用户名和密码，我顺利的登陆进入了那套难以攻破的eWebEditor管理平台，百密一疏的管理员果然使用了与DedeCMS相同的用户名和密码。eWebEditor其实是一套网页内容编辑平台，类似与网页版的Word程序，我需要通过修改它的上传文件类型，达到给服务器上传Webshell的目的。

图4

在用管理员权限登陆后，我进入eWebEditor后台中的“样式管理”页面，选择s_full样式中的“拷贝”选项，进入“设置”内容后，我要通过修改允许上传类型中的“其他类型”达到上传ASP木马的目的，在“其他类型”中我加入“aspasp”类型，输入ASP两遍主要是因为系统会自动过滤掉一个ASP字符，这样输入即便过滤后仍然会保留一个ASP字符。最后在点击确定后，我回到“样式管理”页面，在s_full样式的预览选项中，我可以顺利的将ASP文件的Webshell上传了。

那一天

9点45分，她出现在声乐教室的门口，我随后紧紧的跟了上去，立即坐在了她的身边，她惊讶的看着我，我也故作惊讶的看着她，我跟她说，这真是上天的机缘巧合呀。声乐课开始了，她动情的照着乐谱唱了起来，声音好甜呀。当然，随后就听见了我嚎叫般的伴唱的声音……

构筑好网站的每一个环节

去年夏天，上海某高校数千名学生的电子学籍管理系统的账号和密码外泄。账号包含了在校学生的学籍、个人和家庭信息，还可以对部分权限大的账号中的学生个人信息进行修改。而此事件发生之前，上海的另一所高校发生了因学生个人信息泄露导致不少家长遭遇诈骗的事件。当时不少家长都接到“学校老师”的电话，以学生在学校出了意外等理由，让家长寄钱到某个账户上。因为对方了解自己的电话号码、工作单位，并能正确地说出自己孩子所在的院系和班级，有些家长放松了警惕，情急之中按照对方的要求寄钱过去，造成了不小的经济损失。

由此可见，如今的校园网站已经不是单一的校园信息发布平台，它已经开始逐渐的包含越来越多的互动内容与学校教务板块，因此这些独立单一的板块在拼接的时候，往往会出现各种个样的问题。许多校园网管往往会就单一的问题给出解决方案，却忽略了整个平台链条中的细节漏洞，因此在选择校园网站程序之初，就应该考虑平台的综合稳定因素，也只有做到及时与完善的更新维护，才能够确保真正意义上的安全可靠。

黑客战书

我决定向你们发出战书，我将DedeCMS爆出的密码明文藏在了下面的九宫格中，想成为黑客的你有能力破解出来吗？如果你有足够的耐心破解谜题，那么说明你拥有足够的智慧与耐力，一定能够成为优秀的黑客，接受我的战书吧！

游戏规则：1.在9×9的大九宫格内，已给定若干数字，其他宫位留白，玩家需要自己按照逻辑推敲出剩下的空格里是什么数字。2.每一行与每一列都有1到9的数字，每个小九宫格里也有1到9的数字，并且一个数字在每行、每列及每个小九宫格里只能出现一次。