本期主角：TOM音街

問題所在：各種漏洞、后門鏈接

主要危害：網(wǎng)站被黑客入侵

調(diào)研時(shí)間：2009.9.6~2009.11.10
 

TOM音街，一個(gè)匯集大量歌曲的地方，相信登錄的網(wǎng)民一定不少，但它的安全性卻令人擔(dān)憂。我們電腦報(bào)安全團(tuán)隊(duì)的成員，在該網(wǎng)站發(fā)現(xiàn)多次安全問題，涉及目錄查看漏洞、物理路徑泄露、黑客后門、注入漏洞。這些安全隱患雖然還沒有對用戶帶來直接的影響，但對TOM音街卻敲響了安全的警鐘，是時(shí)候?qū)W(wǎng)站進(jìn)行一次徹底的安全檢查了。

發(fā)現(xiàn)第一個(gè)漏洞

在剛進(jìn)入TOM音街的時(shí)候，主要是為了聽歌曲，只是非常無意的一個(gè)舉動(dòng)，在IE瀏覽器返回的時(shí)候想偷懶，因此直接將http://play8.tom.com/player/ splay.php?songid=706463網(wǎng)址后面的字符串去掉了，我認(rèn)為http://play8.tom.com/player/會(huì)直接返回到首頁，但是我錯(cuò)誤了。

在取出掉網(wǎng)址后面的字符串之后，http://play8.tom.com/player/竟然直接呈現(xiàn)出了網(wǎng)頁的目錄（圖1）。這是非常致命的錯(cuò)誤，網(wǎng)站出現(xiàn)這種錯(cuò)誤通常只有兩個(gè)原因，管理麻痹大意，配置服務(wù)器的時(shí)候，由于技術(shù)生疏或者忽視，導(dǎo)致了配置錯(cuò)誤，最終出現(xiàn)目錄暴漏。

另外一種原因則是漏洞。例如FTP軟件等造成的漏洞，由于管理員沒有及時(shí)修補(bǔ)，或者管理員根本就不知道有這個(gè)漏洞，因此就造成了網(wǎng)站目錄暴漏的問題。TOM音街的這臺服務(wù)器就因?yàn)楸┞读四夸?，讓我很容易的就獲取了網(wǎng)站的結(jié)構(gòu)，還好這個(gè)網(wǎng)站使用的是PHP腳本語言，如果使用的是ASP Access，那么重要的后臺數(shù)據(jù)肯定會(huì)暴漏在黑客的面前，讓黑客可以輕易根據(jù)數(shù)據(jù)庫路徑將數(shù)據(jù)庫整體下載竊取走。
目錄暴漏漏洞很容產(chǎn)生衍生，隨后經(jīng)過詳細(xì)的查找，我有找到了TOM音街的多個(gè)目錄暴漏點(diǎn)，最簡單尋找這種目錄暴漏點(diǎn)的方法，就是將網(wǎng)址后面的數(shù)值去掉，或者干脆順著已有的漏洞點(diǎn)擊，就總會(huì)發(fā)現(xiàn)更多弱點(diǎn)。

再報(bào)漏洞——泄露的物理路徑

為了挖掘更多的目錄漏洞，我開始逐一點(diǎn)擊各個(gè)目錄，結(jié)果這次掃蕩式的點(diǎn)擊有了更多出任醫(yī)療的收獲，在網(wǎng)址為“http://play8.tom.com/autorun/” 的目錄下，有多個(gè)“.sh”后綴的文件，“.sh”格式文件是UNIX或Linux操作系統(tǒng)的可以執(zhí)行的Shell腳本文件，打一個(gè)通俗的比喻，它非常類似Windows系統(tǒng)中可以執(zhí)行DOS名冷的.COM文件。

這些.sh后綴的文件中，通常會(huì)包含有網(wǎng)站在服務(wù)器中的物理路徑等信息。在馬上下載回這些.sh文件后，使用記事本程序?qū)⑽募蜷_，果然發(fā)現(xiàn)了TOM音街在這臺服務(wù)器中的物理路徑為：/www/webroot/a8/upload/tempfile/file。（圖2）

黑客小百科：物理路徑泄露屬于低風(fēng)險(xiǎn)等級缺陷，它的危害一般被描述為“攻擊者可以利用此漏洞得到信息，來對系統(tǒng)進(jìn)一步地攻擊”。提供Web、FTP、SMTP等公共服務(wù)的服務(wù)器都有可能出現(xiàn)物理路徑泄露的問題。

比較常見的是Web服務(wù)器的路徑泄露。導(dǎo)致Web服務(wù)器路徑泄露的原因很多，可能是Web平臺本身、腳本語言解釋器、引擎插件、組件、輔助程序等一些原因造成的，也有可能是腳本編寫錯(cuò)誤所導(dǎo)致的。

很多時(shí)候，黑客會(huì)精心構(gòu)造一個(gè)畸形、超長或不存在的文件請求，而這個(gè)請求是Web服務(wù)器沒有預(yù)料且不能正確處理的，這時(shí)往往會(huì)返回出錯(cuò)信息——最直觀的就是暴露物理路徑。

得到物理路徑能夠做什么呢？對于許多黑客而言，物理路徑有些時(shí)候能給黑客帶來一些有價(jià)值的非公開信息信息，比如說：可以大致了解系統(tǒng)的文件目錄結(jié)構(gòu)；可以看出系統(tǒng)所使用的第三方軟件；也說不定會(huì)得到一個(gè)合法的用戶名（因?yàn)楹芏嗳税炎约旱挠脩裘鳛榫W(wǎng)站的目錄名）。

最后的進(jìn)攻——PHP注入

雖然得到了TOM音街的物理路徑，但是畢竟都是危害級別不高的漏洞。不過管理員竟然出現(xiàn)了如此多的錯(cuò)誤，想必平時(shí)一定不注重網(wǎng)絡(luò)安全，于是我決定挑戰(zhàn)一下，挖掘一下音街是否有危害更大的漏洞，例如注入漏洞。

查找注入漏洞的整個(gè)過程順利的有點(diǎn)兒讓我無語，甚至沒有使用任何輔助工具的幫助，僅是隨機(jī)的點(diǎn)開了幾個(gè)網(wǎng)站，然后每個(gè)后面加入了一個(gè)“，”號，其中一個(gè)頁面就立刻爆出了MYSQL的錯(cuò)誤提示頁面。

注入點(diǎn)http://comment.a8.tom.com/user.php?username=546557694。注入點(diǎn)順利的找到了，此時(shí)可以祭出輔助工具幫助進(jìn)行滲透了。我調(diào)出了PHP注入中小有名氣的“Pangolin”，這是一款能夠幫助黑客進(jìn)行SQL注入的最好的工具之一。

黑客小知識：所謂的SQL注入測試就是通過利用目標(biāo)網(wǎng)站的某個(gè)頁面缺少對用戶傳遞參數(shù)控制或者控制的不夠好的情況下出現(xiàn)的漏洞，從而達(dá)到獲取、修改、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫服務(wù)器、Web服務(wù)器的目的的測試方法。Pangolin能夠通過一系列非常簡單的操作，達(dá)到最大化的攻擊測試效果。它從檢測注入開始到最后控制目標(biāo)系統(tǒng)都給出了測試步驟。

在Pangolin的URL一項(xiàng)中輸入查找出的注入點(diǎn)網(wǎng)址，然后點(diǎn)擊Check就開始進(jìn)行注入漏洞的檢驗(yàn)了。很快Tom音街?jǐn)?shù)據(jù)庫的名稱等信息就全部被猜了出來，然后使用MySQL的提權(quán)工具進(jìn)行提權(quán)，添加管理員賬號，上傳Webshell木馬。

#p#

正當(dāng)我準(zhǔn)備上傳Webshell的時(shí)候，不知道是幸運(yùn)還是不幸，我竟然驚訝的發(fā)現(xiàn)，TOM音街網(wǎng)站中已經(jīng)有許多黑客的后門了，數(shù)量不低于20個(gè)。半個(gè)小時(shí)之前還興奮的如同收到禮物一樣，而現(xiàn)在則是一盆冷水從頭澆到底。

既然別人已經(jīng)放了后門了，那么我還上傳什么WebShell，直接借用就好了。不過由于沒有密碼，在幾個(gè)黑客留下的后門試著輸入了幾個(gè)白癡的密碼，結(jié)果都被拒絕了。不過我很快想到了，許多黑客在上傳Webshell的時(shí)候會(huì)留下大量用后門頁面構(gòu)造的虛假文件，根據(jù)日期排序，很快找到了一個(gè)文件，開打之后果然看到了密碼，登陸。

TOM音街就這樣失守了。

深度分析

TOM音街大概是最近一段時(shí)間我見過的知名大站中漏洞最多的一個(gè)網(wǎng)站了，從危害級別最低的目錄查看漏洞，到網(wǎng)站被植入了20過個(gè)黑客后門，真不知道那些平時(shí)使用TOM音街的網(wǎng)友現(xiàn)在后怕不后怕。

導(dǎo)致目錄查看漏洞的原因有多方面，有可能是軟件漏洞，也有可能是管理員在配置服務(wù)器方面出現(xiàn)了差錯(cuò)或者經(jīng)驗(yàn)不足，都有可能造成這個(gè)問題。程序出錯(cuò)網(wǎng)上是這個(gè)問題的主要原因，錯(cuò)誤處理是各種語言編程中一個(gè)很重要的部分，雖然每種語言都提供了完善的出錯(cuò)處理函數(shù)，但你也得正確使用它。如Perl中的“die”函數(shù)，如果沒有在錯(cuò)誤信息后面加上“\n”的話，就很可能會(huì)導(dǎo)致物理路徑泄露。然而，腳本程序員卻一直忽略了這些問題，任何時(shí)候程序員都應(yīng)該充分考慮，給出完整的出錯(cuò)處理方案。

而對于網(wǎng)站本身出現(xiàn)注入漏洞，則完全是代碼檢查不嚴(yán)造成的漏洞，如果網(wǎng)站在正式上線前進(jìn)行仔細(xì)的代碼安全監(jiān)測，哪怕就是最常規(guī)的檢測，都不可能出現(xiàn)如此低級的錯(cuò)誤。

最令人嘆為觀止的還是Tom音街中的二十多個(gè)黑客后門。從時(shí)間來看，有不少后門在Tom音街的服務(wù)器中已經(jīng)存在了一段時(shí)間了，網(wǎng)站方面竟然沒有病毒過濾和探測系統(tǒng)，而管理員也沒有及時(shí)查看服務(wù)器的新增文件變化，這些都是造成如此后果的原因。

TOM音街漏洞列表

目錄查看漏洞
 
http://upload.a8.tom.com/ZendPlatform/

http://play8.tom.com/autorun/

http://play8.tom.com/upload/

http://play8.tom.com/player/

http://play8.tom.com/zhuanti/

http://play8.tom.com/images/

……
 
暴露物理路徑文件
 
http://play8.tom.com/autorun/ClearUploadSession.sh

http://play8.tom.com/autorun/tempClearUploadSession.sh

http://play8.tom.com/upload/tempfile/upload.cgi

……
 
黑客后門（WEBSHELL）

http://play8.tom.com/upload/upload_yc2.php

http://play8.tom.com/upload/done_public.php

http://play8.tom.com/ZendPlatform/common/jpgraph/gogogo.php

http://play8.tom.com/ZendPlatform/common/text/en/shelll.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/2.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/Vote.php

http://play8.tom.com/uploadfile/photo/200602/23/1140700434_22939.php

http://play8.tom.com/uploadfile/photo/200602/23/1140704002_13145.php

http://play8.tom.com/uploadfile/photo/200602/23/1140705424_22939.php

http://play8.tom.com/uploadfile/album/199508/12/c1.php

http://play8.tom.com/uploadfile/photo/200607/04/1151979366_58787.php

http://play8.tom.com/uploadfile/photo/200604/18/1145322994_37261.php

http://play8.tom.com/uploadfile/photo/200604/18/1145323568_37265.php

http://play8.tom.com/uploadfile/photo/200604/17/1145277425_37161.php

http://play8.tom.com/player/images/shiting/2008.php

http://play8.tom.com/images/help/shabi/

……
 
注入漏洞
 
http://comment.a8.tom.com/user.php?username=546557694

【編輯推薦】

1. 郵件安全隱患及其防范技術(shù)研究
2. Mozilla屏蔽微軟針對火狐插件稱有安全隱患
3. Novell炮轟洛杉磯轉(zhuǎn)用谷歌軟件稱有安全隱患