武学的中 出其不意、剑走偏锋才能发挥灵巧的长在防火墙广泛地应用于网络的间执行访问控制策略今天以往被漠视CGI安全悄然兴起形形色色脚本攻击在防火墙“认同”下大行其道看似简单脚本实质上处处暗藏玄机本文真实再现利用脚本缺陷善意侵入target全过程试图让您得到点乐趣和启示
Target.ORG(target网络安全小组)是国内较为知名黑客/安全站点偶然间我们开始了对她安全测试
没有任何迟疑我们直接从WEB下手据了解:target整站由站主NetHero编写基于代码规模和复杂度方面考虑我们把目光集中到了网站WebSite论坛我们习惯首先查看用户信息用户名和用户密码总是紧贴着保存在起在这里我们更容易接近我们渴求信息提交如下URL
查看NetHero用户信息:
http://www.target.org/cgi-bin/club/scripts/userinfo.pl?user=nethero
正常返回用户信息
http://www.target.org/cgi-bin/club/scripts/userinfo.pl?user=./nethero
出错提示:论坛系统出现问题!
http://www.target.org/cgi-bin/club/scripts/userinfo.pl?user=nethero%00
返回用户信息“发贴数量”出现了个莫名其妙串其他部分信息也全乱了
看来这里有点问题这个串到底是如何回事?我们用以前申请ID登陆上去后看到每个URLQUERY_STRING后面都有个名为key变量而且其值和上述串有些相似难道这个是密码?我们接连登陆几次后观察到这个key值每次都不样看来这个key是用来识别我们在论坛身份应该和用户密码没有直接关系...还是先不管这个key值了继续用我们ID做实验提交了这个URL
http://www.target.org/cgi-bin/club/scripts/userinfo.pl?user=envymask%00
出来还是跟先前类似串这个时候我们大胆猜测这个串是我们密码通过验证我们发现这确是把我们密码经过标准DES加密后得到串这证明了我们猜测是正确这个串中就是加密过后用户密码但为什么密码会溜出来?于是我们接着推测:在用户数据目录里面肯定有两个保存每个用户信息文件个里面保存有密码而另个没有只有些般信息如邮箱生日的类这两个文件应该个是username另个是username.xxx(加了个后缀)
userinfo.pl这个使用open打开文件时候没有对user这个变量过滤完全至少没有过滤掉 \0这使得试图打开username.xxx文件时候实质上打开并不是username.xxx而是username打开文件代码可能是这样写open(F,"$path/$username.xxx");所以当use
最新评论