驚！網(wǎng)站脫褲實錄

牟曉東

路遇網(wǎng)站，小試牛刀

這兩天，我正在幾個教育輔導(dǎo)機構(gòu)的網(wǎng)站轉(zhuǎn)悠，上這些網(wǎng)站下載資料都要求注冊，而且還要求提供手機和生日等私密信息。我決定隨機選擇其中一個網(wǎng)站，檢查一下安全性到底做得如何。

我在網(wǎng)站首頁隨意點擊了一條新聞鏈接，該新聞的地址顯示為：http://www. xx.com/show_news.asp?id=167&ssfl=2（域名用xx代替）。這個“news.asp?id=”引起了我的注意，這說明網(wǎng)站是基于ASP構(gòu)建，而這種形式的網(wǎng)址也往往存在注入漏洞。

于是，我打開一款名為“明小子旁注WEB綜合檢測程序”的小工具，然后依次進入“SQL注入”→“SQL注入猜解檢測”。我將網(wǎng)站的新聞地址插入到“注入點”輸入框，并點擊“開始檢測”按鈕。很快便得知該網(wǎng)站用的是Access數(shù)據(jù)庫，網(wǎng)站存在注入點。

隨后，我又點擊程序窗口左側(cè)的“猜解表名”按鈕，得到如下信息：數(shù)據(jù)庫4個，admin、users、news和config。當(dāng)時我就震驚了，竟然有admin這個表（這個表中都是存放權(quán)限控制信息）！選中“admin”后，再點擊“猜解列名”按鈕，工具又解析出了表中的信息：“列名：3個，admin、password和id”（如圖1）。

哎，這網(wǎng)站安全性做得也太差了，說不定還能直接找到管理員賬號！我一邊琢磨，一邊勾選窗口中的admin和password兩列，并點擊“猜解內(nèi)容”按鈕來印證自己的想法。

工具雖未破解出admin的值（顯示為“—檢”），但卻找到了各賬號對應(yīng)的password信息（用MD5加密）。好在，我將密碼拿到幾個在線MD5破解網(wǎng)站破解時，卻并未成功。看來，管理員密碼很強壯，我舒了口氣（如圖2）。

My God，網(wǎng)站早已被黑

既然網(wǎng)站存在注入點，說明它還是有安全漏洞的，至少存在代碼提交過濾不嚴(yán)的問題。于是，我決定再猜猜網(wǎng)站的后臺管理頁面地址。

這次，我找來了一款名為“啊D注入工具”的小工具幫忙。啟動程序后，切換至“管理入口檢測”窗口，在“網(wǎng)站地址”處插入新聞頁面的網(wǎng)址，并點擊“檢測管理入口”按鈕。很快，這廝就掃描出了一大堆“可用連接和目錄位置”（如圖3）。

根據(jù)字面意思，便能猜測出各個頁面的大致功能。比如，http://www.xx.com/ admin/index.asp，肯定是后臺管理頁面；而http://www.xx.com/UploadFile/應(yīng)該是上

傳文件的頁面。而當(dāng)我打開該上傳頁面時，發(fā)現(xiàn)該頁面竟存在目錄瀏覽的低級漏洞（如圖4）！

在該頁面中，我點擊“[轉(zhuǎn)到父目錄]”，結(jié)果來到了網(wǎng)站首頁。可點擊“201106”，卻發(fā)現(xiàn)了大量的JPG圖片文件。蹊蹺的是，該目錄中三個最新文件的大小都是77 536字節(jié)。難道，真有這么巧？

抱著懷疑的態(tài)度，我先點擊了最后一張圖片，結(jié)果卻打開了一個網(wǎng)頁！仔細一看頁面內(nèi)容才恍然大悟—這個網(wǎng)站早被黑了（如圖5）。我又點擊了幾個“圖片”文件看了下，竟還發(fā)現(xiàn)了上古時代的木馬—“海陽頂端網(wǎng)ASP木馬紅粉佳人版”的蹤跡。大意的網(wǎng)站管理員啊，“尼瑪”叫我怎敢來這兒注冊賬號呀！

順藤摸瓜，網(wǎng)站竟然被“脫褲”

看來，這網(wǎng)站的后臺都快成黑客們的菜園子了，但更為嚴(yán)重的問題還在后面！

還記得剛才掃描到的各個頁面嗎？仔細一看，其中還有一個http://www.xx.com/Data/，這應(yīng)該是訪問數(shù)據(jù)庫的頁面。我在瀏覽器中嘗試訪問后，果然發(fā)現(xiàn)了一個名為“#wan#hua. mdb”的數(shù)據(jù)庫，大小約為5MB。更恐怖的是，只要對其點擊鼠標(biāo)左鍵，就可以將數(shù)據(jù)下載到本地（如圖6）—額的神呀！這不就是傳說中的“脫褲”么？

用自己電腦的Access數(shù)據(jù)庫軟件打開這個數(shù)據(jù)庫后，我雙擊打開“users”這個數(shù)據(jù)表，300多個會員的機密信息一覽無余（如圖7）。無論是登錄賬號、MD5加密之后的密碼、找回密碼時的問題與答案，甚至是真實姓名、電子郵箱和最近一次登錄的IP地址等信息，全都盡收眼底。

雖然其中部分內(nèi)容都是使用MD5進行加密的，但很多密碼都很簡單，隨便用一個MD5破解網(wǎng)站就能直接破譯，毫無安全性可言。比如，第一個賬號“hxf1919”的密碼破解之后竟然是“dddddd”。

我用該賬號在網(wǎng)站的首頁上進行登錄，輕而易舉地便進入了個人頁面（如圖8）！我絕望地發(fā)現(xiàn)，這里不但可以查看和修改用戶資料，甚至還能查看賬戶中的余額等信息。

就我這樣一個菜鳥，只用了兩個小工具，竟然就獲得了這個網(wǎng)站的會員資料。要是有動機不純的黑客獲得了這些數(shù)據(jù)，然后通過社會工程學(xué)的方法，還可以入侵我們的其他各個網(wǎng)站的賬號，微博賬號、QQ賬號、網(wǎng)絡(luò)游戲、網(wǎng)上銀行……，想想都有些后怕。

事實上，很多中小網(wǎng)站都是漏洞百出，不但存在注入漏洞，還存在目錄瀏覽漏洞和提權(quán)漏洞等。因此，它們被人“脫褲”也是常有的事兒。真想對各位網(wǎng)管們說一聲：“網(wǎng)站不但是公司的臉面，還直接關(guān)系到用戶的個人信息安全，可千萬要多加防范！”

同時，我們也可以看出，只要密碼足夠強壯，通過MD5加密之后還是很難被破解的。各位讀者朋友在注冊網(wǎng)站賬號的時候，也應(yīng)盡量將自己的密碼設(shè)置得更加強壯一些，從而避免密碼被破譯的危險。